|
|
51CTO旗下网站
|
|
移动端

1.4.2 plugin_id一对多关系

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍plugin_id一对多关系。

作者:李晨光来源:清华大学出版社|2016-01-14 16:48

1.4.2  plugin_id一对多关系

每个插件代表对一种数据源采集的定义,数据采集Agent通过插件定义的内容分析日志,在此过程中添加事件的plugin_id、plugin_sid,这样对该事件进行唯一的标识。由于安全设备往往能产生多种类型安全事件,所以plugin_id标识的插件对应多个plugin_sid事件。

如果使用了OSSIM4.8以上版本,那么打开方式和上面介绍的有所不同,路径为Configuration→Threat Intelligence→Data Source选择 按钮,如图1-40所示。虽然外观变化了,但一些参数有着共性,其含义需要大家理解。

Priority:优先级(0为最低,5为最高)。当修改了插件的优先级之后,会影响到事件报警,如果需要恢复初始状态,可以在WebUI的Threat Intelligence→Data Source菜单下单击"Restore Plugins"按钮。

Timestamp:时间戳。

Protocol:协议类型,有三种协议类型:TCP、UDP、ICMP。

Src_ip:源IP地址。

Src_port:源端口。

Dst_ip:目标IP地址。

Dst_port:目标端口。

Log:日志内容。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

非常网管——网络服务

本书使用通俗易懂的语言,通过大量的实例,从实际应用的角度出发,全面系统地介绍了网络服务操作系统平台、电子邮件系统、Web站点和FTP站点...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊