一、Open***安裝部署
1、Open*** for Windows
安裝軟件包中的open***-2.0.9-gui-1.0.3-install.exe，拷貝安裝包中的client.o***文件到C:\Program Files\Open×××\config目錄， 啟動(dòng)Open*** GUI，連接***服務(wù)器。Ipconfig/all 查看虛擬網(wǎng)卡是否獲得地址為：10.1.1.×。測(cè)試與10.1.1.1的通訊是否正常。
2、Open*** for Linux(Ossim-agent自帶)
把ca.crt，client.crt，client,key還有client.conf放入/etc?/open***目錄下面。
在ossim-agent安裝完成后，通過(guò)SSH FTP傳輸安裝包中的client.o***文件到/etc/open***/目錄，啟動(dòng)open***:
/etc/init.d/open*** restart 連接***服務(wù)器。查看ifconfig是否有 tun0網(wǎng)卡，確保啟動(dòng)成功，并且獲得地址為10.1.1.×。測(cè)試與10.1.1.1的通訊是否正常。
二、Ossim-agent安裝部署（linux版本）
光盤(pán)啟動(dòng)系統(tǒng)，進(jìn)入安裝過(guò)程，只安裝agent模塊。指定server地址為：10.1.1.1。
1、系統(tǒng)部署
打開(kāi)/etc/rsyslog.conf，在RULES后增加過(guò)濾條件，并且重啟rsyslog： /etc/init.d/rsyslog restart? 。其他過(guò)濾條件可以根據(jù)實(shí)際的日志類(lèi)型增加相應(yīng)規(guī)則。
###############
#### RULES ####
把$ModLoad imudp
$UDPServerRun 514前面的“#”去掉
$EscapeControlCharactersOnReceive off?? ;是否寫(xiě)入控制字符
if $rawmsg contains 'IISWebLog' then /var/log/iisweb.log? ;IIS日志過(guò)濾
if $rawmsg contains 'id=tos' then /var/log/topsec.log? ;topsec防火墻過(guò)濾
把安裝包中的iis.cfg和topsec.cfg拷貝到/etc/ossim/agent/plugins/目錄下，修改/etc/ossim/agent/config.cfg中sensor=10.1.1.×地址為open***獲得的地址。重啟ossim-agent:? /etc/init.d/ossim-agent restart 。
2、功能模塊部署
使用ossim-setup，增加/刪除相應(yīng)的功能模塊（選中sensor設(shè)置，然后選上IIS）。測(cè)試相關(guān)模塊的運(yùn)行情況，確保可以收到原始事件，并且解析成功。
修改/etc/ossim/ossim-setup.conf 把framework_ip=20.20.20.1（***服務(wù)器的IP地址）。
使用tail –f /var/log/ossim/agent.log查看agent工作情況，類(lèi)似下列輸出證明解析成功：
2010-08-04 16:51:59,958 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug? 4 16:51:59 top-analyzer IISWebLog???? 0?????? 2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
2010-08-04 16:51:59,959 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug? 4 16:51:59 top-analyzer IISWebLog???? 0?????? 2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
讓ossim snmptrap實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)
1.修改訪問(wèn)權(quán)限
在 /etc/snmp/snmptrapd.conf? 文件末尾加入 authcommunity execute,log,net public ，保存
2.修改snmptrap隨snmp自啟動(dòng)
編輯/etc/default/snmpd
Export MIBDIRS=/usr/share/snmp/mibs
SNMPDRUN=yes
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1'
TRAPDRUN=yes
TRAPDOPTS='-A -On -Lf? /var/log/snmptrap.log -p /var/run/snmptrapd.pid'
SNMPDCOMPAT=yes
3.把snmpd加入系統(tǒng)自啟動(dòng)
使用rcconf，首先安裝apt-get install rcconf,之后運(yùn)行，在里面選中snmpd進(jìn)行
netstat -nlp |grep snmp看看是否已經(jīng)啟動(dòng)成功。

udp??????? 0????? 0 127.0.0.1:161?????????? 0.0.0.0:*?????????????????????????? 2502/snmpd?????
udp??????? 0????? 0 0.0.0.0:162???????????? 0.0.0.0:*?????????????????????????? 2505/snmptrapd
配置mrtg進(jìn)行流量監(jiān)控
Mkdir –p /var/www/mrtg/ftp
Cd /var/www/mrtg/ftp
cfgmaker --global 'WorkDir: /var/www/mrtg/test' --global 'Options[_]:? bits,growright' --global "Language:chinese" --global "Interval:5" --global? "Refresh:300" --global "RunAsDaemon:yes" --output /var/www/mrtg/test/mrtg.cfg? public@IP(要監(jiān)控主機(jī)的IP地址)
indexmaker mrtg.cfg > index.cfg
運(yùn)行mrtg程序，監(jiān)控
env LANG=C /usr/bin/mrtg mrtg.cfg

4.Snare for Windows安裝和配置（Snare和EpiLog）
1.安裝Snare收集Windows event log
打開(kāi)安裝包中的SnareSetup-3.1.3-MultiArch.exe，安裝完設(shè)置：
http://localhost:6161/network，設(shè)置Destination Snare Server address為agent以太網(wǎng)地址x.x.x.x，Destination Port為514。
勾選Enable SYSLOG Header
應(yīng)用配置點(diǎn)擊：Apply the Latest Audit Configuration。
?打開(kāi)本地安全設(shè)置-本地策略-審核策略，設(shè)置相應(yīng)的審核功能。
2.安裝EpiLog收集IIS Web服務(wù)器日志
打開(kāi)安裝包中的EpilogSetup-1.5.4-MultiArch.exe，安裝完設(shè)置：http://localhost:6162 Log Configuration
Network Configuration（勾選Enable SYSLOG Header）
log type選擇為microsoft iis web server logs
log file or directory 為IIS日志的存放位置并且加上W3SVC1
log name format為ex*.log
Network Configuration（勾選Enable SYSLOG Header），并且選擇目的地址為agent的ip地址

Objectives Configuration，添加一個(gè)include和一個(gè)exclude
點(diǎn)擊：Apply the Latest Audit Configuration，并且Reload Settings。

?? 5.在linux下安裝epilog來(lái)轉(zhuǎn)發(fā)agent.log日志

a)???????? 在http://192.168.10.26 上下載epilog-1.3.tar.gz ；

b)???????? 上傳到要安裝的agent服務(wù)器上面；

c)???????? Tar –zxvf epilog-1.3.tar.gz

d)???????? Cd epilog-1.3

e)???????? ./install.sh

f)????????? /etc/init.d/epilogd restart

g)???????? 查看端口6162是否起來(lái)

h)???????? 用IE打開(kāi) http://agent***IP:6162

i)?????????? 開(kāi)始配置 配置方法和在windows下面的配置方法一樣

? 設(shè)置結(jié)果參照上一節(jié)（Ossim-agent安裝部署（linux版本））。

?

轉(zhuǎn)載于:https://blog.51cto.com/lymrg/370975

總結(jié)

以上是生活随笔為你收集整理的ossim-agent代理和要监控的服务器的配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。