ossim-agent代理和要监控的服务器的配置
一、Open***安裝部署
1、Open*** for Windows
安裝軟件包中的open***-2.0.9-gui-1.0.3-install.exe,拷貝安裝包中的client.o***文件到C:\Program Files\Open×××\config目錄, 啟動(dòng)Open*** GUI,連接***服務(wù)器。Ipconfig/all 查看虛擬網(wǎng)卡是否獲得地址為:10.1.1.×。測(cè)試與10.1.1.1的通訊是否正常。
2、Open*** for Linux(Ossim-agent自帶)
把ca.crt,client.crt,client,key還有client.conf放入/etc?/open***目錄下面。
在ossim-agent安裝完成后,通過(guò)SSH FTP傳輸安裝包中的client.o***文件到/etc/open***/目錄,啟動(dòng)open***:
/etc/init.d/open*** restart 連接***服務(wù)器。查看ifconfig是否有 tun0網(wǎng)卡,確保啟動(dòng)成功,并且獲得地址為10.1.1.×。測(cè)試與10.1.1.1的通訊是否正常。
二、Ossim-agent安裝部署(linux版本)
光盤(pán)啟動(dòng)系統(tǒng),進(jìn)入安裝過(guò)程,只安裝agent模塊。指定server地址為:10.1.1.1。
1、系統(tǒng)部署
打開(kāi)/etc/rsyslog.conf,在RULES后增加過(guò)濾條件,并且重啟rsyslog: /etc/init.d/rsyslog restart? 。其他過(guò)濾條件可以根據(jù)實(shí)際的日志類(lèi)型增加相應(yīng)規(guī)則。
###############
#### RULES ####
把$ModLoad imudp
$UDPServerRun 514前面的“#”去掉
$EscapeControlCharactersOnReceive off?? ;是否寫(xiě)入控制字符
if $rawmsg contains 'IISWebLog' then /var/log/iisweb.log? ;IIS日志過(guò)濾
if $rawmsg contains 'id=tos' then /var/log/topsec.log? ;topsec防火墻過(guò)濾
把安裝包中的iis.cfg和topsec.cfg拷貝到/etc/ossim/agent/plugins/目錄下,修改/etc/ossim/agent/config.cfg中sensor=10.1.1.×地址為open***獲得的地址。重啟ossim-agent:? /etc/init.d/ossim-agent restart 。
2、功能模塊部署
使用ossim-setup,增加/刪除相應(yīng)的功能模塊(選中sensor設(shè)置,然后選上IIS)。測(cè)試相關(guān)模塊的運(yùn)行情況,確保可以收到原始事件,并且解析成功。
修改/etc/ossim/ossim-setup.conf 把framework_ip=20.20.20.1(***服務(wù)器的IP地址)。
使用tail –f /var/log/ossim/agent.log查看agent工作情況,類(lèi)似下列輸出證明解析成功:
2010-08-04 16:51:59,958 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug? 4 16:51:59 top-analyzer IISWebLog???? 0?????? 2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
2010-08-04 16:51:59,959 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug? 4 16:51:59 top-analyzer IISWebLog???? 0?????? 2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
讓ossim snmptrap實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)
1.修改訪問(wèn)權(quán)限
在 /etc/snmp/snmptrapd.conf? 文件末尾加入 authcommunity execute,log,net public ,保存
2.修改snmptrap隨snmp自啟動(dòng)
編輯/etc/default/snmpd
Export MIBDIRS=/usr/share/snmp/mibs
SNMPDRUN=yes
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1'
TRAPDRUN=yes
TRAPDOPTS='-A -On -Lf? /var/log/snmptrap.log -p /var/run/snmptrapd.pid'
SNMPDCOMPAT=yes
3.把snmpd加入系統(tǒng)自啟動(dòng)
使用rcconf,首先安裝apt-get install rcconf,之后運(yùn)行,在里面選中snmpd進(jìn)行
netstat -nlp |grep snmp看看是否已經(jīng)啟動(dòng)成功。
udp??????? 0????? 0 127.0.0.1:161?????????? 0.0.0.0:*?????????????????????????? 2502/snmpd?????
udp??????? 0????? 0 0.0.0.0:162???????????? 0.0.0.0:*?????????????????????????? 2505/snmptrapd
配置mrtg進(jìn)行流量監(jiān)控
Mkdir –p /var/www/mrtg/ftp
Cd /var/www/mrtg/ftp
cfgmaker --global 'WorkDir: /var/www/mrtg/test' --global 'Options[_]:? bits,growright' --global "Language:chinese" --global "Interval:5" --global? "Refresh:300" --global "RunAsDaemon:yes" --output /var/www/mrtg/test/mrtg.cfg? public@IP(要監(jiān)控主機(jī)的IP地址)
indexmaker mrtg.cfg > index.cfg
運(yùn)行mrtg程序,監(jiān)控
env LANG=C /usr/bin/mrtg mrtg.cfg
4.Snare for Windows安裝和配置(Snare和EpiLog)
1.安裝Snare收集Windows event log
打開(kāi)安裝包中的SnareSetup-3.1.3-MultiArch.exe,安裝完設(shè)置:
http://localhost:6161/network,設(shè)置Destination Snare Server address為agent以太網(wǎng)地址x.x.x.x,Destination Port為514。
勾選Enable SYSLOG Header
應(yīng)用配置點(diǎn)擊:Apply the Latest Audit Configuration。
?打開(kāi)本地安全設(shè)置-本地策略-審核策略,設(shè)置相應(yīng)的審核功能。
2.安裝EpiLog收集IIS Web服務(wù)器日志
打開(kāi)安裝包中的EpilogSetup-1.5.4-MultiArch.exe,安裝完設(shè)置:http://localhost:6162 Log Configuration
Network Configuration(勾選Enable SYSLOG Header)
log type選擇為microsoft iis web server logs
log file or directory 為IIS日志的存放位置并且加上W3SVC1
log name format為ex*.log
Network Configuration(勾選Enable SYSLOG Header),并且選擇目的地址為agent的ip地址
Objectives Configuration,添加一個(gè)include和一個(gè)exclude
點(diǎn)擊:Apply the Latest Audit Configuration,并且Reload Settings。
?? 5.在linux下安裝epilog來(lái)轉(zhuǎn)發(fā)agent.log日志
a)???????? 在http://192.168.10.26 上下載epilog-1.3.tar.gz ;
b)???????? 上傳到要安裝的agent服務(wù)器上面;
c)???????? Tar –zxvf epilog-1.3.tar.gz
d)???????? Cd epilog-1.3
e)???????? ./install.sh
f)????????? /etc/init.d/epilogd restart
g)???????? 查看端口6162是否起來(lái)
h)???????? 用IE打開(kāi) http://agent***IP:6162
i)?????????? 開(kāi)始配置 配置方法和在windows下面的配置方法一樣
? 設(shè)置結(jié)果參照上一節(jié)(Ossim-agent安裝部署(linux版本))。
?
轉(zhuǎn)載于:https://blog.51cto.com/lymrg/370975
總結(jié)
以上是生活随笔為你收集整理的ossim-agent代理和要监控的服务器的配置的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: NeedforSpeed:SHIFT
- 下一篇: Django Localization