|
|
|
|
移动端

1.2.7 OSSIM Agent(1)

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍OSSIM Agent。

作者:李晨光来源:清华大学出版社|2016-01-14 16:21

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


1.2.7 OSSIM Agent(1)

Agent运行在Sensor中,负责从各安全设备、安全工具的插件中采集相关信息(比如IIS服务日志、Snort报警日志等),并将采集到的各类信息统一格式,再将这些数据传至Server,例如将Snort系统产生的报警信息收集并存储在OSSIM Server中。

OSSIM Agent中所有脚本采用Python编写,相关目录在/etc/ossim/agent/,代理插件目录在/etc/ossim/agent/plugins/,配置文件路径:/etc/ossim/agent/config.cfg,OSSIM系统的代理信息查看方法,通过Analysis→Detection下的HIDS标签中Agents查看。结构如图1-16所示。

40002/tcp:监听服务器的原始请求。

Listener:接收服务器连接请求。

Active:接收服务器输入并且根据请求扫描主机。

Engine:管理线程,处理监视器请求。

Detector Plugin:读取日志和进行归一化处理。

Monitor Plugin:请求监视器数据。

DB-Connect:连接到本地/远程OSSIM数据库。

Watchdog:监视进程启动/停止进程,检查各插件是否已经开始运行,如遇意外,它会发现并重启相关进程,它自动检查时间为180秒,重启进程时间为3600秒,其值可以在/etc/ossim/agent/config.cfg配置文件中修改。

OSSIM中定义的大部分插件其日志都默认存放在/var/log/syslog中,所以自定义插件式往往需要修改日志的存放位置,在本书后面的例子中将详细讲解。

表1-3 插件的日志路径

OSSIM Agent插件

ID

日志位置

Apache

1501

/var/log/apache2/access.log /var/log/apache2/error.log

Arpwatch

1512

/var/log/ossim/arpwatch-eth0.log

Avast

1567

/var/log/avast.log

bind

1577

/var/log/bind.log

bluecoat

1642

/var/log/bluecoat.log

Cisco-asa

1636

/var/log/cisco-asa.log

Cisco-pix

1514

/var/log/cisco-pix.log

cisco-route

1510

/var/log/syslog

cisco-vpn

1527

/var/log/syslog

Exchange

1603

/var/log/syslog

Extreme-switch

1672

/var/log/extreme-switch.log

F5

1614

/var/log/syslog

fortigate

1554

/var/log/fortigate.log

Fw1ngr60

1504

/var/log/ossim/fw1.log

gfi

1530

/var/log/syslog

heartbeat

1523

/var/log/ha-log

iis

1502

/var/log/iisweb.log

ipfw

1529

/var/log/messages

Iptables

1503

/var/log/syslog

Juniper-vpn

1609

/var/log/juniper-vpn.log

kismet

1596

/var/log/syslog

linuxdhcp

1607

/var/log/ossim/dhcp.log

M0n0wall

1559

/var/log/syslog

mcafee

1571

/var/log/mcafee.log

monit

1687

/var/log/ossim/monit.log

nagios

1525

/var/log/nagios3/Nagios.log

nessus

90003

/var/ossec/logs/archive/archive.log

Nessus-detector

3001

/var/log/ossim/nessus_jobs

netgear

1519

/var/log/syslog

Netscreen-firewall

1522

/var/log/netscreen.log

nfs

1631

/var/log/syslog

Nortel-switch

1557

/var/log/syslog

openldap

1586

/var/log/openldap/slapd.log

osiris

4001

/var/log/syslog

Ossec-idm

50003

/var/ossec/logs/alerts/alerts.log

Ossec-single-line

7007

OSSIM-agent

6001

/var/log/ossim/agent.log

P0f

1511

/var/log/ossim/p0f.log

Alienvault-dummy-server

1510

/var/log/ossim/sem.log

prads

1683

/var/log/prads-asset.log

Prads_eth0

1683

/var/log/ossim/prads-eth0.log

postfix

1521

/var/log/mail.log

snare

1518

/var/log/snare.log

Snort_syslog

1001

/var/log/snort/alert

snortunified

1001

/var/log/snort

sophos

1581

/var/log/ossim/sophos.log

suiqd

1553

/var/log/squid/access.log

ssh

4003

/var/log/auth.log

sudo

4005

Suricata-http

8001

/var/log/suricata/http.log

suricata

1001

/var/log/suricata/

Symantec-ams

1556

/var/log/syslog

Vmware-esxi

1686

/var/log/vmware-esxi.log

vsftpd

1576

/var/log/vsftpd.log

webmin

1580

/var/log/auth.log

websense

19004

/var/log/websense.log

表1-3分析了目录/etc/ossim/agent/plugin/中主要插件的日志输出情况,通过该表我们能够很容易的了解正则表达式的匹配情况。我们进入/etc/ossim/agent/plugings/目录,其下有197个插件,如何能了解每个插件的日志的匹配情况呢?例如SSH插件对应的文件为ssh.cfg,记录的日志文件为/var/log/auth.log,匹配的详情我们通过以下命令实现(在OSSIM 4.4之后的版本中已去除了regexp.py调试脚本,大家可以到作者博客下载该脚本(http://bjlcg.com:8080/tools/regexp.py ),以便完成后续试验)。

下面看个Apache访问日志的例子,首先在/var/log/apache2/access.log中的两条日志如下:

插件检测格式:

  1. ./regexp.py  log_filename regexp modifier 

y:显示不匹配的行

v: 显示匹配的行

q: 只显示摘要

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Microsoft SQL Server 2005技术内幕:存储引擎

本书是Inside Microsoft SQL Server 2000的作者Kalen Delaney的又一经典著作,是Inside Microsoft SQL Server 2005系列四本著作中的一本。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊