一、Open***安装部署
1、Open*** for Windows
安装软件包中的open***-2.0.9-gui-1.0.3-install.exe,拷贝安装包中的client.o***文件到C:\Program Files\Open×××\config目录, 启动Open*** GUI,连接***服务器。Ipconfig/all 查看虚拟网卡是否获得地址为:10.1.1.×。测试与10.1.1.1的通讯是否正常。
2、Open*** for Linux(Ossim-agent自带)
把ca.crt,client.crt,client,key还有client.conf放入/etc /open***目录下面。
在ossim-agent安装完成后,通过SSH FTP传输安装包中的client.o***文件到/etc/open***/目录,启动open***:
/etc/init.d/open*** restart 连接***服务器。查看ifconfig是否有 tun0网卡,确保启动成功,并且获得地址为10.1.1.×。测试与10.1.1.1的通讯是否正常。
二、Ossim-agent安装部署(linux版本)
光盘启动系统,进入安装过程,只安装agent模块。指定server地址为:10.1.1.1。
1、系统部署
打开/etc/rsyslog.conf,在RULES后增加过滤条件,并且重启rsyslog: /etc/init.d/rsyslog restart  。其他过滤条件可以根据实际的日志类型增加相应规则。
###############
#### RULES ####
把$ModLoad imudp
$UDPServerRun 514前面的“#”去掉
$EscapeControlCharactersOnReceive off   ;是否写入控制字符
if $rawmsg contains 'IISWebLog' then /var/log/iisweb.log  ;IIS日志过滤
if $rawmsg contains 'id=tos' then /var/log/topsec.log  ;topsec防火墙过滤
把安装包中的iis.cfg和topsec.cfg拷贝到/etc/ossim/agent/plugins/目录下,修改/etc/ossim/agent/config.cfg中sensor=10.1.1.×地址为open***获得的地址。重启ossim-agent:  /etc/init.d/ossim-agent restart 。
2、功能模块部署
使用ossim-setup,增加/删除相应的功能模块(选中sensor设置,然后选上IIS)。测试相关模块的运行情况,确保可以收到原始事件,并且解析成功。
修改/etc/ossim/ossim-setup.conf 把framework_ip=20.20.20.1(***服务器的IP地址)。
使用tail –f /var/log/ossim/agent.log查看agent工作情况,类似下列输出证明解析成功:
2010-08-04 16:51:59,958 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug  4 16:51:59 top-analyzer IISWebLog     0       2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
2010-08-04 16:51:59,959 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug  4 16:51:59 top-analyzer IISWebLog     0       2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
让ossim snmptrap实现开机启动
1.修改访问权限
在 /etc/snmp/snmptrapd.conf  文件末尾加入 authcommunity execute,log,net public ,保存
2.修改snmptrap随snmp自启动
编辑/etc/default/snmpd
Export MIBDIRS=/usr/share/snmp/mibs
SNMPDRUN=yes
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1'
TRAPDRUN=yes
TRAPDOPTS='-A -On -Lf  /var/log/snmptrap.log -p /var/run/snmptrapd.pid'
SNMPDCOMPAT=yes
3.把snmpd加入系统自启动
使用rcconf,首先安装apt-get install rcconf,之后运行,在里面选中snmpd进行
netstat -nlp |grep snmp看看是否已经启动成功。

udp        0      0 127.0.0.1:161           0.0.0.0:*                           2502/snmpd     
udp        0      0 0.0.0.0:162             0.0.0.0:*                           2505/snmptrapd
配置mrtg进行流量监控
Mkdir –p /var/www/mrtg/ftp
Cd /var/www/mrtg/ftp
cfgmaker --global 'WorkDir: /var/www/mrtg/test' --global 'Options[_]:  bits,growright' --global "Language:chinese" --global "Interval:5" --global  "Refresh:300" --global "RunAsDaemon:yes" --output /var/www/mrtg/test/mrtg.cfg  public@IP(要监控主机的IP地址)
indexmaker mrtg.cfg > index.cfg
运行mrtg程序,监控
env LANG=C /usr/bin/mrtg mrtg.cfg

4.Snare for Windows安装和配置(Snare和EpiLog)
1.安装Snare收集Windows event log
打开安装包中的SnareSetup-3.1.3-MultiArch.exe,安装完设置:
http://localhost:6161/network,设置Destination Snare Server address为agent以太网地址x.x.x.x,Destination Port为514。
勾选Enable SYSLOG Header
应用配置点击:Apply the Latest Audit Configuration。
 打开本地安全设置-本地策略-审核策略,设置相应的审核功能。
2.安装EpiLog收集IIS Web服务器日志
打开安装包中的EpilogSetup-1.5.4-MultiArch.exe,安装完设置:http://localhost:6162 Log Configuration
Network Configuration(勾选Enable SYSLOG Header)
log type选择为microsoft iis web server logs
log file or directory 为IIS日志的存放位置并且加上W3SVC1
log name format为ex*.log
Network Configuration(勾选Enable SYSLOG Header),并且选择目的地址为agent的ip地址
Objectives Configuration,添加一个include和一个exclude
点击:Apply the Latest Audit Configuration,并且Reload Settings。

   5.在linux下安装epilog来转发agent.log日志

a)         http://192.168.10.26 上下载epilog-1.3.tar.gz

b)         上传到要安装的agent服务器上面;

c)         Tar –zxvf epilog-1.3.tar.gz

d)         Cd epilog-1.3

e)         ./install.sh

f)          /etc/init.d/epilogd restart

g)         查看端口6162是否起来

h)         IE打开 http://agent***IP:6162

i)           开始配置 配置方法和在windows下面的配置方法一样

  设置结果参照上一节(Ossim-agent安装部署(linux版本))。