How to Enable rsyslog server on OSSIM to work with Syslog agent/client

مشروع OSSIM  يعتبر أحد أقوى حلول الـ SIEM  في المصدار المفتوحة , وبالطبع بدون سجلات الأحداث لن يكون له فائدة تذكر

بكشل افتراضي فإن OSSIM  يدعم rsyslog  و كنت سابقا اعتمد على Syslog-ng لكن بفضل الله أن rsyslog  يدعمل نفس طريقة المخرجات التي يدعمها syslog-ng كما أن syslog-ng له agent/clinet  على الويندوز أيضا

 

سأشرح تفعيل الإضافة rsyslog server على OSSIM و كيفية تفعيل الـ Agents

1. إعداد الخادم OSSIM

1.1 ادخل إلى إعدادات الخادم

alienvault-setup

أو

ossim-setup

1.2 ثم اتبع الصورة التالية

Main >> Change Sensor Settings

ثم, Enables/Disable detector plugins

ثم, انزل بالقائمة حتى تصل إلى rsyslog و اخترها

ثم انتقل إلى زر OK

ستجد نفسك في القائمة الئيسية مرة اخرى , اختر Save & Exit

انتظر قليلا ريثما يكتب إتغيراتك و يقوم بإعادة تشغيل الخدمات

افتح الملف التلي

vim /etc/ossim/agent/plugins/syslog.cfg

و عدله إلى

[syslog - datamining]
event_type=event
regexp="^(?P(?P\S+\s+\d+\s+\d\d:\d\d:\d\d)\s+(?P [^\s]+)\s+(?P[^\[]*)(\[(?P\d+)\])?\s+(?P.*)$)
date={normalize_date($1)}
plugin_sid=1
userdata1={md5sum($logline)}
userdata2={$sensor}
userdata3={$generator}
userdata4={$pid}
userdata5={$logged_event}

2. إعداد الـ Agents/Client

2.1 إذهب إلى /etc/syslog.conf

vim /etc/syslog.conf

2.2 و أضف الخادم إلى الإعدادات

*.*               @rsyslog_IP

احفظ الإعدادات

2.3 اعد تشغيل الخدمة

/etc/init.d/syslog restart

تحياتي واحترامي

رأي واحد على “How to Enable rsyslog server on OSSIM to work with Syslog agent/client

  1. ihi, Can you help me, I working with alienvault 4.3 nad try configure syslog ubuntu server send logs to alienvault, i don’t that make bad, and how make alarms and tickets. Sorry for my bad english

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *