配置OSSEC SYSLOG 輸出 （所有agent）

1. 編輯ossec.conf 文件（默認(rèn)為/var/ossec/etc/ossec.conf）

   站在用戶的角度思考問題，與客戶深入溝通，找到貢山網(wǎng)站設(shè)計(jì)與貢山網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、國(guó)際域名空間、網(wǎng)絡(luò)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋貢山地區(qū)。

2. 在ossec.conf中添加下列內(nèi)容（10.0.0.1 為 接收syslog 的服務(wù)器）

   10.0.0.1
   9000
   default

1. 開啟OSSEC允許syslog輸出功能

/var/ossec/bin/ossec-control enable client-syslog

1. 重啟 OSSEC服務(wù)

   /var/ossec/bin/ossec-control start

配置LOGSTASH

1. 在logstash 中 配置文件中增加(或新建)如下內(nèi)容：（假設(shè)10.0.0.1 為ES服務(wù)器,假設(shè)文件名為logstash-ossec.conf ）

input {
    udp {
        port => 9000
        type => "syslog"
    }
}
filter {
    if [type] == "syslog" {
        grok {
            match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_host} %{DATA:syslog_program}: Alert Level: %{BASE10NUM:Alert_Level}; Rule: %{BASE10NUM:Rule} - %{GREEDYDATA:Description}; Location: %{GREEDYDATA:Details}" }
            add_field => [ "ossec_server", "%{host}" ]
        }
        mutate {
            remove_field => [ "syslog_hostname", "syslog_message", "syslog_pid", "message", "@version", "type", "host" ]
        }
    }
}
output {
    elasticsearch_http {
        host => "10.0.0.1"
    }
}

推薦 Kibana dashboard

社區(qū)已經(jīng)有人根據(jù) ossec 的常見需求，制作有 dashboard 可以直接從 Kibana3 頁面加載使用。