Graylog聯動與Ossec實現安全日誌分析
注:之後會細化。
Graylog
安裝包
mongodb-org-server-4.0.6-1.el6.x86_64.rpm
jre-8u191-linux-x64.rpm
elasticsearch-6.5.3.rpm
graylog-server-2.5.1-1.noarch.rpm
pwgen-2.08-1.el6.x86_64.rpm[^注意]: Elasticsearch需要 5或更高版本,MongoDB 需要 3.6或更高版本
安裝
MongoDB
yum update -y openssl #MongoDB安裝需要openssl>=1.0.1
rpm -ivh mongodb-org-server-4.0.6-1.el6.x86_64.rpm
service mongod startElasticsearch
rpm -ivh jre-8u191-linux-x64.rpm #如不使用rpm包,需修改Graylog啓動腳本定義的JAVA命令路徑
rpm -ivh elasticsearch-6.5.3.rpm
vim /etc/elasticsearch/elasticsearch.yml
取消cluster.name註釋,並更改
cluster.name: graylog
service elasticsearch startGraylog
rpm -ivh graylog-server-2.5.1-1.noarch.rpm
rpm -ivh pwgen-2.08-1.el6.x86_64.rpm
pwgen -N 1 -s 96 #生成password_secret密碼
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1 #生成root_password_sha2密碼
vim /etc/graylog/server/server.conf
password_secret = #輸入生成的password_secret密碼
root_password_sha2 = #輸入生成的root_password_sha2密碼
root_timezone = Asia/Shanghai
rest_listen_uri = http://192.168.198.131:9000/api/
web_listen_uri = http://192.168.198.131:9000/
allow_highlighting = true #運行查詢結果高亮)
elasticsearch_shards = 1 #當前只安裝了一個elasticsearch)
elasticsearch_index_prefix = graylogOssec
安裝包
ossec-hids-3.1.0.tar.gz安裝
服務端
yum install -y gcc-c++ make
tar -xvf ossec-hids-3.1.0.tar.gz 解壓
cd ossec-hids-3.1.0/src/os_dbd/
yum install - y postgresql-devel
./install.sh
您希望哪一種安裝 (server, agent, local or help)? server #選server 下面的根據提示選擇客戶端
安裝同服務端
您希望哪一種安裝 (server, agent, local or help)? agent服務端添加客戶端
- 服務端
/var/ossec/bin/manage_agents
A
根據提示操作可以獲取到Key,將Key保存
/var/ossec/bin/ossec-control start #啓動服務端- 客戶端
/var/ossec/bin/manage_agents
I
輸入服務端的Key
/var/ossec/bin/ossec-control start #啓動客戶端- 測試
連接成功後,可以在客戶端失敗登錄幾次在以下路徑可以查看到日誌。
/var/ossec/logs/alerts/alerts.logGraylog與Ossec聯動
Ossec
vim /var/ossec/etc/ossec.conf 修改Ossec配置文件
<remote>
<connection>syslog</connection>
<allowed-ips>192.168.198.0/24</allowed-ips> #增加可以連接的網段,<要比上一行少一格
</remote>
<syslog_output>
<server>192.168.198.133</server> #GraylogIP地址
<port>12000</port> #Graylog Input端口
<format>cef</format> #輸出格式
</syslog_output>
/var/ossec/bin/ossec-control enable client-syslog #開啓syslog功能
/var/ossec/bin/ossec-control restart #重啓Graylog
#日誌採集
選擇 System/Inputs
在其中找到cef採集方式,端口填寫Ossec.conf中<syslog_output>填寫的端口。