|
|
51CTO旗下网站
|
|
移动端

1.4.1 普通日志举例

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍普通日志举例。

作者:李晨光来源:清华大学出版社|2016-01-14 16:47

1.4  Agent事件类型

分布式OSSIM系统中,各组件的通信从一级控制中心到二级节点,再到数据采集的Agent之间都需要信息交互,它们之间相互传递的信息包括事件、状态、命令及配置文件发布等。OSSIM系统从不同设备接收到事件日志大致分为普通事件、MAC事件、操作系统事件和服务事件主要分为4种类型,下面分别以这几种类型事件日志格式进行说明。

1.4.1 普通日志举例

event type="detector" date="2012-08-09 12:12:11" plugin_id="4003" plugin_sid="1" sensor="192.168.150.10" interface="eth0" priority="1" src_ip="192.168.150.8" dst_ip="192.168.150.8" data="user1" log="Aug  9 12:12:11 ossim-sensor sshd[6567]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=user1"

各区域含义如下:

type:事件类型,一般有两种类型"Detector 或Monitor"。

date:从设备接收日志的时间。

sensor:传感器IP地址。

interface: 网络接口。

plugin_id:称为插件ID或安全插件号,表示产生这个事件的插件,也就是可用于区分是哪个NIDS 或扫描设备产生的事件,这里plugin_id=4002,代表SSHd:Secure Shsell daemon。

plugin_sid:称为SID或安全事件号,用于表示安全事件在插件中的事件类型,可用于区分同一探针探测到的不同事件类型,插件的子ID在OSSIM 4.1中在菜单Deployment→Collection下的DS Groups选项查询,打开顺序见图1-39中的箭头所示1~4个步骤。其中数据源插件也是以此插件为基础。其数据源描述如图1-39所示。


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

'ASP.NET'程序设计教程

《ASP.NET程序设计教程》是在总结多年ASP.NET教学和应用项目开发经验基础上编写完成的,编写过程中充分吸取了其他畅销实用教程的成功经验。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊