用OSSIM轻松分析网络设备日志
2015-11-04 13:03
447 查看
用OSSIM轻松分析网络设备日志
基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/5cb3627982c320795e05d57cf7c01f54.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/daa781353d789892cd6d3e810c14936e.jpg)
在系统中通过饼图将各类日志直观的展现给用户,便于查阅。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/0c6af804714fb82c6a1080e5c2af297b.jpg)
从网络设备日志收集的日志,经过插件归一化处理之后,转换为标准化事件,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/2887a199f0f6c1b9306e60d813164dd6.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/549e39e7e3e8ee96818cf39df62cee44.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/be8452edbcc2a85a97d7a987cbb0c694.jpg)
上面显示的这十几个大类,仅通过事件名就能猜出来吧。下面,我们以ASA:ICMP Denied事件为例,看看深入发现什么端倪。首先这种ICMP事件发生了11,189次,而且每条事件详情如下图所示。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/9312e8e6529ece0e2715a22991d9f836.jpg)
其实原始日志为:
插件位置:
/etc/ossim/agent/plugins/cisco-asa.cfg
该插件适用范围:
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各个版本
插件ID编号:1636
插件类型:detector
原始日志存储位置:/var/log/cisco-asa.log
下面是处理这条日志的正则表达式:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/5600272f30249b49255af5e5cf252fd6.jpg)
为了深入分析,下一步就要知道这类日志产生的频率以及变化趋势,要实现就交给Timeline吧。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/782deb78eecda716d4f932b1c769f86f.jpg)
加入过滤条件:筛选出某一天内所有的Cisco ASA事件情况,用sed,grep命令去编写脚本吗?No,实现起来非常easy! 如下图所示。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/2a24c51bc7bc406a4abee12143f5f42f.jpg)
收集cisco交换机日志
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/22e58f02b8c0b43d21b485750803bcf8.jpg)
一旦思科设备的配置被修改,立即会发出报警
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/addcb4aa4e54118da7fad5940bf73bff.jpg)
下面是OSSIM中收集的飞塔(Fortinet)防火墙日志分类:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/deac7b623691c90146e16525b50c0629.jpg)
入库的无线AP的事件
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/b53e23fe98f3817d647edb62a999345f.jpg)
注意:不支持中文日志。
好了,类似Cisco ASA这样的插件系统里到底有多少呢?我们看看下面的图示。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/909788d9475bb1f674975a01b3212545.jpg)
更多OSSIM有趣的内容请参考畅销书《开源安全运维平台OSSIM最佳实践》。
本文出自 “李晨光原创技术博客” 博客,谢绝转载!
基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/5cb3627982c320795e05d57cf7c01f54.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/daa781353d789892cd6d3e810c14936e.jpg)
在系统中通过饼图将各类日志直观的展现给用户,便于查阅。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/0c6af804714fb82c6a1080e5c2af297b.jpg)
从网络设备日志收集的日志,经过插件归一化处理之后,转换为标准化事件,
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/2887a199f0f6c1b9306e60d813164dd6.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/549e39e7e3e8ee96818cf39df62cee44.jpg)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/be8452edbcc2a85a97d7a987cbb0c694.jpg)
上面显示的这十几个大类,仅通过事件名就能猜出来吧。下面,我们以ASA:ICMP Denied事件为例,看看深入发现什么端倪。首先这种ICMP事件发生了11,189次,而且每条事件详情如下图所示。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/9312e8e6529ece0e2715a22991d9f836.jpg)
其实原始日志为:
Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside如果让你长期看这些单调的原始日志,肯定会发疯的。还是Cisco ASA插件帮忙,才能把日志处理的如此利索。插件到底是个什么东西?下面看个例子(以OSSIM中 Cisco ASA插件为例)
插件位置:
/etc/ossim/agent/plugins/cisco-asa.cfg
该插件适用范围:
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各个版本
插件ID编号:1636
插件类型:detector
原始日志存储位置:/var/log/cisco-asa.log
下面是处理这条日志的正则表达式:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/5600272f30249b49255af5e5cf252fd6.jpg)
为了深入分析,下一步就要知道这类日志产生的频率以及变化趋势,要实现就交给Timeline吧。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/782deb78eecda716d4f932b1c769f86f.jpg)
加入过滤条件:筛选出某一天内所有的Cisco ASA事件情况,用sed,grep命令去编写脚本吗?No,实现起来非常easy! 如下图所示。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/2a24c51bc7bc406a4abee12143f5f42f.jpg)
收集cisco交换机日志
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/22e58f02b8c0b43d21b485750803bcf8.jpg)
一旦思科设备的配置被修改,立即会发出报警
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/addcb4aa4e54118da7fad5940bf73bff.jpg)
下面是OSSIM中收集的飞塔(Fortinet)防火墙日志分类:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/deac7b623691c90146e16525b50c0629.jpg)
入库的无线AP的事件
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/b53e23fe98f3817d647edb62a999345f.jpg)
注意:不支持中文日志。
好了,类似Cisco ASA这样的插件系统里到底有多少呢?我们看看下面的图示。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202002/13/909788d9475bb1f674975a01b3212545.jpg)
更多OSSIM有趣的内容请参考畅销书《开源安全运维平台OSSIM最佳实践》。
本文出自 “李晨光原创技术博客” 博客,谢绝转载!
相关文章推荐
- 深入理解HTTP协议(转)
- Nginx获取真实IP模块http_realip_module
- 网络之端口的作用
- 网络之子网掩码
- 网络之Ip地址
- 网络之OSI&&TCP/IP比较
- 网络之TCP/IP四层模型
- 网络之OSI七层模型
- HTTP_CONNECTION:Keep-Alive
- 网络安全形势复杂,专利积累成第一要务
- HttpClient设置请求超时和读取超时
- xcode7不允许HTTP传输的过渡办法
- BroadcastReceiver实现动态监测网络是否可用
- iOS NSHttpCookiesStorage的使用
- Android OKHTTP
- http://git.oschina.net/
- 【网络流】最大流:PIGS【EK模板、建图题】
- 虚拟机网络配置区别
- 调用android系统本地的播放器播放本地视频或者网络视频
- Volley二次封装,实现网络请求缓存