ossim 开源网络监控系统 中文分布式安装全面解析

转自：http://one-line-sky.5d6d.com/thread-50-1-1.html
         一线IT技术论坛
   ossim 作为一款开源的安全网络产品，自从0.9发布就已经掀起了不小的波澜，各大中小企业纷纷安装使用。带动了不小的相关产业链！他的agent+server的分布式机制引起了很多人的关注，当然争议也颇多，因为是纯专业的安全产品，所以普通用户部署起来有一定得困难，特别是如何分布式，创建远程的数据库连接，下面就初步介绍下ossim分布式安装的配置过程：



分布式原理：

分布式主要由agent和server 2部分组成，agent包括需要的插件和sensor2个部分，通过插件捕获相应的日志信息，经过sensor分析后形成server 可读的日志信息发送给server进行关联处理。

大概步骤如下：

1，        安装插件和sensor到一台主机
配置插件conf文件信息，如snort需要在snort.conf中指定日志输出类型，可以分为syslog,tcpdumplog,alert,unfield和base输出，ossim默认的为unfield快速输出方法。（这里只写分布式接口配置，至于插件的个体功能配置就不介绍了）。
2，        配置agent的config.cfg文件信息，指定outserverIP为发送服务器端的IP地址，添加相应插件的分析文件路径，例如snort
snort=/etc/ossim/agent/plugins/snortunified.cfg
cfg文件中可以指定获取到的日志信息路径，匹配正则。
3，        重新启动server
在页面追加sensor

总结：整个分布式的关键衔接点在cfg文件上，只要指定相应的日志文件路径，那么sensor就能够分析插件所捕获的信息，发送给server，所以当做不同插件分布式的时候，只要在相应的路径，提供可分析的日志信息即可。