如何向OSSIM服务器发送NAGIOS警报

Question

我安装了一个OSSIM服务器，我打算检索远程Nagios服务器生成的警报，以便分析它们并执行安全事件的相关性。

在动手之前，我想知道什么是正确的方法。

• 我是否需要配置Nagios，以便将警报转发给OSSIM服务器？这有可能吗？
• 我需要在Nagios运行的机器上安装OSSEC代理吗？如果是这样，我如何配置OSSEC和Nagios？
• 还有别的解决办法吗？

谢谢!

更新：

它“几乎”有效，我可以看到NAGIOS警报通过rsyslog正确地转发，但是OSSIM将它们视为syslog的普通日志，因此它们不会被NAGIOS插件处理。由于我必须创建一个OSSIM规则来关联NAGIOS警报，所以我绝对需要使用NAGIOS插件来处理NAGIOS警报。

下面是我想出的几种可能的解决方案:开发一种插件，以便读取syslog日志，提取来自远程NAGIOS的日志，并将它们发送到OSSIM。为OSSIM开发插件有多复杂？配置OSSIM并将"embedded“NAGIOS替换为远程NAGIOS。这有可能吗？如果是这样的话，是怎么做的？配置OSSIM，以便它可以使用两个NAGIOS，本地的和远程的。这有可能吗？如果是这样的话，是怎么做的？通过NSCA协议将远程NAGIOS的警报推送给本地NAGIOS。那能行吗？创建分布式(DNX) NAGIOS系统，并将本地NAGIOS配置为主服务器，将远程NAGIOS配置为从系统。那能行吗？你们觉得怎么样？这些解决方案中的哪一种会有效？你们有什么更好的主意吗？

谢谢。

Answer 1

您可以将Nagios设置为登录到syslog，然后配置它(例如rsyslog)将事件推送到OSSIM (启用rsyslog以接收远程日志)。

无论如何，您可能希望在Nagios框上有OSSEC，但是这并不是让事件进入OSSIM所必需的。