|
|
|
|
移动端

1.4.5 系统服务事件日志举例

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍系统服务事件日志举例。

作者:李晨光来源:清华大学出版社|2016-01-14 16:51

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

1.4.5 系统服务事件日志举例

host-service-event host="192.168.150.77" sensor="192.168.150.10" interface="eth0" port="80" protocol="6" service="www" application="CCO/4.0.3 (Unix) tomcat" date="2012-03-27 07:59:54" plugin_id="1516" plugin_sid="1" log="test_log"

各区域含义如下:

hostIP:地址或主机名称。

sensor:    Sensor的IP地址。

interface:嗅探网卡。

port:端口。

protocol:协议号。

service:服务种类 (例如WWW、SSH以及FTP等)。

application:指定应用所对应的服务。

date:日期时间。

plugin_id:系统服务ID通常显示 1516 (这代表pads服务,属于网络发现服务,全称为Passive Asset Detection System)。

在系统报告的事件中,插件ID定义插件的类型,我们要在何处才能找到它所有对应的id呢?在图1-41所示中的查询对话框中输入id号就可以方便查到插件用途。

另外,在命令行下查询详情,例如ID:2523,通过以下命令实现。

  1. #grep sid:2523 /etc/snort/rules/* 


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

'ASP.NET'程序设计教程

《ASP.NET程序设计教程》是在总结多年ASP.NET教学和应用项目开发经验基础上编写完成的,编写过程中充分吸取了其他畅销实用教程的成功经验。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊