Graylog联动与Ossec实现安全日志分析

Graylog联动与Ossec实现安全日志分析

Graylog

安装包

mongodb-org-server-4.0.6-1.el6.x86_64.rpm
jre-8u191-linux-x64.rpm
elasticsearch-6.5.3.rpm
graylog-server-2.5.1-1.noarch.rpm
pwgen-2.08-1.el6.x86_64.rpm

[^注意]: Elasticsearch需要 5或更高版本，MongoDB 需要 3.6或更高版本

安装

MongoDB

yum update -y  openssl     #MongoDB安装需要openssl>=1.0.1
rpm -ivh mongodb-org-server-4.0.6-1.el6.x86_64.rpm
service  mongod start

Elasticsearch

rpm -ivh jre-8u191-linux-x64.rpm       #如不使用rpm包，需修改Graylog启动脚本定义的JAVA命令路径
rpm -ivh elasticsearch-6.5.3.rpm 
vim /etc/elasticsearch/elasticsearch.yml
 取消cluster.name注释，并更改
 cluster.name: graylog
service elasticsearch start

Graylog

rpm -ivh graylog-server-2.5.1-1.noarch.rpm
rpm -ivh pwgen-2.08-1.el6.x86_64.rpm

pwgen -N 1 -s 96        #生成password_secret密码
echo -n "Enter Password: " && head -1 

Ossec

安装包

ossec-hids-3.1.0.tar.gz

安装

服务端

yum install -y gcc-c++ make
tar -xvf ossec-hids-3.1.0.tar.gz 解压
cd ossec-hids-3.1.0/src/os_dbd/
yum install - y postgresql-devel
./install.sh

您希望哪一种安装 (server, agent, local or help)? server　   #选server 下面的根据提示选择

客户端

安装同服务端
您希望哪一种安装 (server, agent, local or help)? agent

服务端添加客户端

• 服务端

 /var/ossec/bin/manage_agents
 A
 根据提示操作可以获取到Key，将Key保存

 /var/ossec/bin/ossec-control start  #启动服务端

• 客户端

/var/ossec/bin/manage_agents
I
输入服务端的Key

/var/ossec/bin/ossec-control start  #启动客户端

• 测试

连接成功后，可以在客户端失败登录几次在以下路径可以查看到日志。
/var/ossec/logs/alerts/alerts.log

Graylog与Ossec联动

Ossec

vim /var/ossec/etc/ossec.conf  修改Ossec配置文件
 
    syslog
     192.168.198.0/24   #增加可以连接的网段，<要比上一行少一格
  

   
    192.168.198.133   #GraylogIP地址
    12000                 #Graylog Input端口
    cef               #输出格式
   

 /var/ossec/bin/ossec-control  enable client-syslog  #开启syslog功能
 /var/ossec/bin/ossec-control  restart    #重启

Graylog

#日志采集
选择 System/Inputs
在其中找到cef采集方式，端口填写Ossec.conf中填写的端口。