CentOS:NXlogとOSSIMを使用したログの収集と分析

CentOS:NXlogとOSSIMを使用したログの収集と分析

目的:すべてのサーバーのログを正しい形式で読み取ることができるOSSIMに転送します。

スピード:

  • 各ネットワークゾーンに1つのNXlogコレクタ/エージェントノードを展開する - 完了
  • 管理領域へのNXlogコレクタ/マスターノードのデプロイ - 完了
  • 管理領域へのAlien Vault OSSIMの導入 - 完了

すべてのサーバーがセキュリティゾーンの外部にログを送信することは許可されていないため、すべてのログは管理ゾーンログ収集システムに配信されるローカルNXlogエージェントに転送する必要があります。

予想される結果:サーバーログ(システムログとアプリケーション固有のログ)は、NXlogエージェント> NXlogマスター> OSSIMに渡され、すべての情報が単一サーバーからのものと区別可能でなければなりません。

OSSIMと同様に、すべてのNXlogインスタンスが実行されています。データはOSSIMに入りますが、「分析/セキュリティイベント」で単一のイベントを開くと、詳細は不十分です。唯一の便利な部分は、次の項目を表示できる生のログフィールドです。

Feb  7 10:01:01 nxlog-collector run-parts(/etc/cron.hourly)[7695 finished 0anacron 

これは、チェーンのどこかでさらに処理を行う必要があることを意味します。 Graylogサーバーでテストした結果、より良い結果が得られましたが、残念ながらAlien Vault OSSIM(オープンソース版)を使用する必要がありました。

関連情報