|
|
|
|
移动端

1.2.6 报警格式的解码

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍报警格式的解码。

作者:李晨光来源:清华大学出版社|2016-01-14 16:20

年前最后一场技术盛宴 | 1.27与京东、日志易、美团技术大咖畅聊智能化运维发展趋势!


1.2.6 报警格式的解码

报警信息的接收过程中,为了应对报警信息格式的变化,OSSIM采用基于正则表达式的方法对报警信息进行匹配,解析报警事件获取关键信息。正则表达式是一串记录文本规则的代码组合,它的作用是用来进行文本匹配。例如对空白字符、数字字符、中英文字符、IP和 E-mail地址等匹配,简单的说它就是一个普通的字符查找串。

例如,下面对一段Snort报警信息进行正则表达式的匹配。

  1. 5/26-01:02:17.670721 [**] [1:1419:9] SNMP trap udp [**] [Classification: Attempted  
  2. Information Leak] [Priority: 2] {UDP} 20.20.13.17:162 -> 20.20.20.78:162  
  3. <ids> 
  4. <name>snort</name> 
  5. <method>net_socket</method> 
  6. <regex>^(\d+/\d+-\d+:\d+:\d+).\d+\s+[**] [\d:(\d+):\d+] \.+[Classification: (\.+)]  
  7. [Priority: (\d)] {(\.+)} (\d+.\d+.\d+.\d+)\p*(\d*)->(\d+.\d+.\d+.\d+)\p*(\d*)</regex> 
  8. <order>time,id,classtype,priority,protocol,srcip,srcport,dstip,dstport</order> 
  9. <mapping>snort_classtype,snort_id</mapping> 
  10. </ids> 

这样通过正则表达式可以提取时间、id、分类、报警级别、协议、源IP、源端口、目的IP 和目标端口等信息。接着再将这些字段逐个存储为标准化的表中,最后通过Web界面展现。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

程序设计实践双语版

程序设计实践并不只是写代码。程序员必须评论各种折衷方案,在许多可能性之中做出选择、排除错误、做测试和改进程序性能,还要维护自己或其...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊