如何通过rsyslog将日志发送到远程日志服务器？

Question

我对八卦很陌生。我已经在虚拟机(vmware)上安装了ossim 3.1

我有两个问题：

1)我已经在ossim-setup中启用了SYSLOG。现在我在分析-> SIEM中得到了大量的syslog消息。如何修改日志速率？如何管理系统日志配置？我查找了syslog conf文件，但没有。我只能找到rsyslog文件。此外，如果我这样做了

alienvault:~# ps aux | grep sys
root      3481  0.1  0.0   2492  1416 ?        S    08:51   0:12 /var/ossec/bin/ossec syscheckd
root      5951  0.0  0.0  35512  1416 ?        Sl   08:58   0:00 /usr/sbin/rsyslogd -c3 -x
root     18427  0.0  0.0   1716   636 pts/0    S+   11:29   0:00 grep --color=auto sys

我知道只有rsyslogd在运行

2)我已经在ossim-setup中启用了Dionaea，我正在尝试将它的日志发送到ossim，但没有任何结果。我该怎么做呢？在那之后，我是不是应该做一些其他的事情，让ossim将Dioanea的日志与其他日志关联起来？

谢谢

Answer 1

从rsyslog转发日志可以非常容易地设置。您需要编辑/etc/rsyslog.conf文件并添加以下行：

*.* @@remote-host:514

它将设置您的本地rsyslog将所有syslog消息转发到“远程主机”，514是rsyslogd服务器的端口号。您可以在希望发送日志的所有客户端上添加上述行。你可以在The official Rsyslog Project Website上阅读更多关于它的内容

Answer 2

检查远程服务器上的rsyslog配置(默认情况下位于/etc/rsyslog.conf )。它可能使用UDP或TCP。如果是UDP，则使用

*.* @hostname:<port>

如果是TCP，

*.* @@hostname:<port>

您可以通过检查以下行来获取端口号-

$UDPServerRun <port>
$TCPServerRun <port>

您可以根据Dioanea服务器的主机名或IP地址，使用Rsyslog设置过滤规则，并将其写入一个单独的文件(如果这是您想要的)。

Answer 3

最近有一个补丁使您能够将Dionaea事件发送到syslog：

http://sourceforge.net/p/nepenthes/mailman/message/32024205/