Ossec
OSSEC 將多個文件視為一個文件
不久前,我發布了關於將 OSSEC 用作 sudo SIEM 的文章,將日誌從各種伺服器發送到一個 OSSEC 伺服器並使用相關性來觸發警報。總體而言,該解決方案執行良好,但我最近出於負載平衡的原因不得不划分日誌,所以現在我有了以下內容:
OSSEC 伺服器
- /mnt/logs/unix1.log
- /mnt/logs/unix2.log
- /mnt/logs/unix3.log
- /mnt/logs/unix4.log
出於負載平衡的原因,每個日誌文件都由不同的 syslog 伺服器寫入,並且總體上執行良好。但是,我遇到的問題是 OSSEC 可以單獨針對每個日誌文件執行關聯規則,但是如果有 4 個失敗的登錄並且它們恰好分佈在 4 個日誌文件中,那麼 OSSEC 在每個實例上只會看到 1 個而不是來自 1 個使用者的 4 次登錄失敗警報。
有沒有辦法讓 OSSEC 將文件視為一個文件?我正在尋找其他解決方案,例如 gluster/cluster 文件系統,我可以在其中從多個伺服器寫入一個文件,從而解決問題。
我被誤導了 OSSEC 如何處理日誌。根據這個論壇,Jesus Linares 澄清說,OSSEC 將日誌分組以“解碼為”為基礎,並以相同的方式處理多種日誌格式。
我還通過驗證 6 次失敗的登錄關聯實際上有超過 4 個不同日誌文件的單獨日誌來確認這一點。