Graylog联动与Ossec实现安全日志分析

Graylog

安装包
mongodb-org-server-4.0.6-1.el6.x86_64.rpm
jre-8u191-linux-x64.rpm
elasticsearch-6.5.3.rpm
graylog-server-2.5.1-1.noarch.rpm
pwgen-2.08-1.el6.x86_64.rpm

[^注意]: Elasticsearch需要 5或更高版本,MongoDB 需要 3.6或更高版本

安装
MongoDB
yum update -y  openssl     #MongoDB安装需要openssl>=1.0.1
rpm -ivh mongodb-org-server-4.0.6-1.el6.x86_64.rpm
service  mongod start
Elasticsearch
rpm -ivh jre-8u191-linux-x64.rpm       #如不使用rpm包,需修改Graylog启动脚本定义的JAVA命令路径
rpm -ivh elasticsearch-6.5.3.rpm 
vim /etc/elasticsearch/elasticsearch.yml
 取消cluster.name注释,并更改
 cluster.name: graylog
service elasticsearch start
Graylog
rpm -ivh graylog-server-2.5.1-1.noarch.rpm
rpm -ivh pwgen-2.08-1.el6.x86_64.rpm

pwgen -N 1 -s 96        #生成password_secret密码
echo -n "Enter Password: " && head -1

Ossec

安装包
ossec-hids-3.1.0.tar.gz
安装
服务端
yum install -y gcc-c++ make
tar -xvf ossec-hids-3.1.0.tar.gz 解压
cd ossec-hids-3.1.0/src/os_dbd/
yum install - y postgresql-devel
./install.sh

您希望哪一种安装 (server, agent, local or help)? server    #选server 下面的根据提示选择
客户端
安装同服务端
您希望哪一种安装 (server, agent, local or help)? agent
服务端添加客户端
  • 服务端
 /var/ossec/bin/manage_agents
 A
 根据提示操作可以获取到Key,将Key保存

 /var/ossec/bin/ossec-control start  #启动服务端
  • 客户端
/var/ossec/bin/manage_agents
I
输入服务端的Key

/var/ossec/bin/ossec-control start  #启动客户端
  • 测试
连接成功后,可以在客户端失败登录几次在以下路径可以查看到日志。
/var/ossec/logs/alerts/alerts.log

Graylog与Ossec联动

Ossec
vim /var/ossec/etc/ossec.conf  修改Ossec配置文件
 
    syslog
     192.168.198.0/24   #增加可以连接的网段,<要比上一行少一格
  

   
    192.168.198.133   #GraylogIP地址
    12000                 #Graylog Input端口
    cef               #输出格式
   

 /var/ossec/bin/ossec-control  enable client-syslog  #开启syslog功能
 /var/ossec/bin/ossec-control  restart    #重启

Graylog

#日志采集
选择 System/Inputs
在其中找到cef采集方式,端口填写Ossec.conf中填写的端口。