3.4　Ossec日志

Ossec是一款開源的多平臺入侵檢測系統。將Ossec的監測報警信息轉發到ELK中，無疑可以極大地幫助我們快速可視化安全事件。本節介紹Ossec與Logstash的結合方式。

3.4.1　配置所有Ossec agent采用syslog輸出

配置步驟如下：

1）編輯ossec.conf文件（默認為/var/ossec/etc/ossec.conf）。

2）在ossec.conf中添加下列內容（10.0.0.1為接收syslog的服務器）：

<syslog_output>
<server>10.0.0.1</server>
<port>9000</port>
<format>default</format>
</syslog_output>

3）開啟Ossec允許syslog輸出功能：

/var/ossec/bin/ossec-control enable client-syslog

4）重啟Ossec服務：

/var/ossec/bin/ossec-control start

3.4.2　配置Logstash

在Logstash配置文件中增加（或新建）如下內容（假設10.0.0.1為Elasticsearch服務器）：

input {
    udp {
        port => 9000
        type =>“syslog”
    }
}
filter {
    if [type] == “syslog” {
        grok {
            match => { “message” =>“%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:
                syslog_host} %{DATA:syslog_program}: Alert Level: %{BASE10NUM:
                Alert_Level}; Rule: %{BASE10NUM:Rule} - %{GREEDYDATA:Description};
                 Location: %{GREEDYDATA:Details}” }
            add_field => [ “ossec_server”, “%{host}” ]
        }
        mutate {
            remove_field => [ “syslog_hostname”, “syslog_message”, “syslog_pid”,
            “message”, “@version”, “type”, “host” ]
        }
    }
}
output {
    elasticsearch {
    }
}

3.4.3　推薦Kibana儀表盤

社區已經有人根據Ossec的常見需求制作了儀表盤，可以直接從Kibana 3頁面加載使用，示例如圖3-1所示。

儀表盤的JSON文件見：https://github.com/magenx/Logstash/raw/master/kibana/kibana_dash-board.json。

qrbodyPicKibana的相關內容。