OSSEC作为暹粒

Question

我正在从事一个日志聚合项目，并希望在这个组合中添加一些次要的相关性/安全智能。

目前，我有来自大约400台服务器的日志进入syslog-ng框。我研究了一些程序，如SEC (简单事件相关器)、OSSEC等。对于证券交易委员会，我可以很容易地让进程尾随我正在写的文件(S)，并让它从文件中发出跳闸警报。

但是，我必须构建很多定制规则，而且不会像OSSEC那样有一个很好的GUI。

因此，我考虑使用OSSEC作为本地安装，而不是让它处理所有的代理，只是让它跟踪日志文件(S)和trip警报。

我主要担心的是，由于我没有使用OSSEC的代理部分，看起来唯一的代理是本地主机，因此将把我们看到的大量流量合并到一个大警报中。如果我从server1和server2获得登录失败，它将将其视为相同的源，并将其关联起来比将它们作为单独的服务器更快。

我是否可以在OSSEC中加入任何逻辑，使这个本地/非代理配置与多个服务器日志一起工作，或者您会建议甚至尝试一下吗？

Answer 1

一些非常迅速的想法..。

1)来自不同服务器的日志被定向到不同的文件夹/文件{因此，您将相关性限制在文件级别}

2)将所有日志放在一起，并将服务器名称附加到每条日志行。然后使用regex过滤出服务器，并将其用作相关字段。

另外，你每天的流量是多少？也许你可以看看“扣篮”或“前奏曲”( https://www.prelude-ids.org/projects/prelude )