配置OSSEC SYSLOG输出(所有代理)
- <李>
编辑OSSEC。参看文件(默认为/var/ossec/etc/ossec.conf)
李> <李>在ossec.conf中添加下列内容(10.0.0.1为表示接收syslog的服务器)
李>& lt; syslog_output> ,,& lt; server> 10.0.0.1 ,,& lt; port> 9000 & lt;/port> ,,& lt; format> default & lt;/syslog_output>
- <李>
开启OSSEC允许syslog输出功能
李>/var/OSSEC/bin/ossec-control enable client-syslog
- <李>
重启OSSEC服务
/var/OSSEC/bin/ossec-control 开始李>
配置LOGSTASH
- <李>
在LOGSTASH中配置文件中增加(或新建)如下内容:(假设10.0.0.1为ES表示服务器,假设文件名为logstash-ossec。conf)
李>input { ,,,udp { ,,,,,,,port =在9000年 ,,,,,,,type =祝辞,“syslog” ,,,} } filter { ,,,if [型],==,“syslog, { ,,,,,,,grok { ,,,,,,,,,,,match =祝辞,{,“消息”=祝辞,“% {SYSLOGTIMESTAMP: syslog_timestamp}, % {SYSLOGHOST: syslog_host}, %{数据:syslog_program}:, Alert 水平:,% {BASE10NUM: Alert_Level};,规则:,% {BASE10NUM:规则},安康;% {GREEDYDATA:描述};,地点:,% {}GREEDYDATA:细节”,} ,,,,,,,,,,,add_field =祝辞,[,“ossec_server”、“%{主机}”,) ,,,,,,,} ,,,,,,,mutate { ,,,,,,,,,,,remove_field =祝辞,[,“syslog_hostname”、“syslog_message”,“syslog_pid”,“消息”,“@version”,“类型”,“主人”,) ,,,,,,,} ,,,} } output { ,,,elasticsearch_http { ,,,,,,,host =祝辞,“10.0.0.1”表示 ,,,} }
推荐Kibana仪表板
社区已经有人根据ossec的常见需求,制作有仪表板可以直接从Kibana3页面加载使用。