微型麦克风⽤OSSIM轻松分析⽹络设备⽇志
基于插件的⽇志收集与处理模式,使得⽤户可以轻松的利⽤OSSIM来分析异构⽹络环境下的各种⽹络设备⽇志,下⾯展⽰⼀些硬件设备⽇志的实例,我们在RAW LOG界⾯⾥,搜索栏输⼊Cisco关键词,⽴即列出数据源中已有Cisco 路由器、防⽕墙、交换机等各种搜索条件,你只要知道硬件型号基本都能到对应数据源。⾸先以思科ASA防⽕墙为例来为⼤家说明。 在系统中通过饼图将各类⽇志直观的展现给⽤户,便于查阅。
从⽹络设备⽇志收集的⽇志,经过插件归⼀化处理之后,转换为标准化事件, 上⾯显⽰的这⼗⼏个⼤类,仅通过事件名就能猜出来吧。下⾯,我们以ASA:ICMP Denied事件为例,看看深⼊发现什么端倪。⾸先这种ICMP事件发⽣了11,189次,⽽且每条事件详情如下图所⽰。
其实原始⽇志为:
金银卡纸虹膜定位Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside
实心锥形喷嘴
如果让你长期看这些单调的原始⽇志,肯定会发疯的。还是Cisco ASA插件帮忙,才能把⽇志处理的如此利索。插件到底是个什么东西?下⾯看个例⼦(以OSSIM中 Cisco ASA插件为例)
插件位置:
/etc/ossim/agent/plugins/cisco-asa.cfg
该插件适⽤范围:
灯光控制器
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各个版本
插件ID编号:1636
插件类型:detector
原始⽇志存储位置:/var/log/cisco-asa.log
下⾯是处理这条⽇志的正则表达式:
为了深⼊分析,下⼀步就要知道这类⽇志产⽣的频率以及变化趋势,要实现就交给Timeline吧。
加⼊过滤条件:筛选出某⼀天内所有的Cisco ASA事件情况,⽤sed,grep命令去编写脚本吗?No,实现起来⾮常easy! 如下图所⽰。
收集cisco交换机⽇志
⼀旦思科设备的配置被修改,⽴即会发出报警
下⾯是OSSIM中收集的飞塔(Fortinet)防⽕墙⽇志分类:
⼊库的⽆线AP的事件
回油弯注意:不⽀持中⽂⽇志。
好了,类似Cisco ASA这样的插件系统⾥到底有多少呢?我们看看下⾯的图⽰。
更多OSSIM有趣的内容请参考畅销书《Unix/Linux⽹络⽇志分析与流量监控》。
本⽂出⾃ “” 博客,谢绝转载!