配置OSSEC SYSLOG输出(所有代理)
编辑OSSEC。参看文件(默认为/var/ossec/etc/ossec.conf)
<李>在ossec.conf中添加下列内容(10.0.0.1为表示接收syslog的服务器)
& lt; syslog_output> ,,& lt; server> 10.0.0.1 ,,& lt; port> 9000 & lt;/port> ,,& lt; format> default & lt;/syslog_output>
开启OSSEC允许syslog输出功能
/var/OSSEC/bin/ossec-control enable client-syslog
重启OSSEC服务
/var/OSSEC/bin/ossec-control 开始
配置LOGSTASH
在LOGSTASH中配置文件中增加(或新建)如下内容:(假设10.0.0.1为ES表示服务器,假设文件名为logstash-ossec。conf)
input {
,,,udp {
,,,,,,,port =在9000年
,,,,,,,type =祝辞,“syslog”
,,,}
}
filter {
,,,if [型],==,“syslog, {
,,,,,,,grok {
,,,,,,,,,,,match =祝辞,{,“消息”=祝辞,“% {SYSLOGTIMESTAMP: syslog_timestamp}, % {SYSLOGHOST: syslog_host}, %{数据:syslog_program}:, Alert 水平:,% {BASE10NUM: Alert_Level};,规则:,% {BASE10NUM:规则},安康;% {GREEDYDATA:描述};,地点:,% {}GREEDYDATA:细节”,}
,,,,,,,,,,,add_field =祝辞,[,“ossec_server”、“%{主机}”,)
,,,,,,,}
,,,,,,,mutate {
,,,,,,,,,,,remove_field =祝辞,[,“syslog_hostname”、“syslog_message”,“syslog_pid”,“消息”,“@version”,“类型”,“主人”,)
,,,,,,,}
,,,}
}
output {
,,,elasticsearch_http {
,,,,,,,host =祝辞,“10.0.0.1”表示
,,,}
} 推荐Kibana仪表板
社区已经有人根据ossec的常见需求,制作有仪表板可以直接从Kibana3页面加载使用。
