走近ossim感測器(sensor)外掛程式
sensor啟用外掛程式列表,管理它們非常簡單:
下面看看外掛程式全域性配置檔案
[plugins]
apache=/etc/ossim/agent/plugins/apache.cfg
nmap-monitor=/etc/ossim/agent/plugins/nmap-monitor.cfg
ossec-single-line=/etc/ossim/agent/plugins/ossec-single-line.cfg
ossim-monitor=/etc/ossim/agent/plugins/ossim-monitor.cfg
pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg
ping-monitor=/etc/ossim/agent/plugins/ping-monitor.cfg
prads_eth0=/etc/ossim/agent/plugins/prads_eth0.cfg
ssh=/etc/ossim/agent/plugins/ssh.cfg
sudo=/etc/ossim/agent/plugins/sudo.cfg
suricata=/etc/ossim/agent/plugins/suricata.cfg
whois-monitor=/etc/ossim/agent/plugins/whois-monitor.cfg
wmi-monitor=/etc/ossim/agent/plugins/wmi-monitor.cfg
sensor外掛程式將預處理資料發往server,定義如下
[output-server]
enable=true
ip=192.168.91.228
port=40001
send_events=true
1. apache日誌處理外掛程式
下面已apache外掛程式為例,看看外掛程式中的正規表示式:
[0001 - apache-access]event_type=event
regexp=((?p\d\.\d\.\d\.\d)(:(?p\d))? )?(?p\s+) (?p\s+) (?p\s+) \[(?p\d\/\w\/\d:\d:\d:\d)\s+[+-]\d\] \"(?p[^\"]*)\" (?p\d) ((?p\d+)|-)( \"(?p[^\"]*)\" \"(?p[^\"]*)\")?$
src_ip=
dst_ip=
dst_port=
date=
plugin_sid=
username=
userdata1=
userdata2=
userdata3=
userdata4=
filename=
[0002 - apache-error]event_type=event
regexp=\[(?p\w \w \d \d:\d:\d \d)\] \[(?p(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?p\s+)\] )?(?p.*)
date=
plugin_sid=
src_ip=
userdata1=
如果您對apache日誌基本格式不太了解請參看《unix/linux網路日誌分析與流量監控》一書。
如果您是通過syslog**apache日誌,那麼正則該這樣寫:
[0001 - apache-syslog-access]
event_type=event
regexp=^\w\s+\d \d\d:\d\d:\d\d (?p\s+) \s+: ((?p\s+)(:(?p\d))? )?(?p\s+) (?p\s+) (?p\s+) \[(?p\d\/\w\/\d:\d:\d:\d)\s+[+-]\d\] \"(?p.*)\" (?p\d) ((?p\d+)|-)( \"(?p.*)\" \"(?p.*)\")?$
src_ip=
dst_ip=
dst_port=
device=
date=
plugin_sid=
username=
userdata1=
userdata2=
userdata3=
userdata4=
filename=
[0002 - apache-syslog-error]
event_type=event
regexp=^(?p\w\s+\d \d\d:\d\d:\d\d) (?p\s+) \s+: \[(?p(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?p\s+)\] )?(?p.*)
date=
dst_ip=
device=
date=
plugin_sid=
src_ip=
userdata1=
下面看看apache外掛程式有啥能耐?
這就是對apache日誌的歸一化處理的效果,每類外掛程式對應了乙個外掛程式id,大家在使用siem事件分析時要牢記該id號(看多了就懂了)。
2. ssh日誌處理外掛程式
apache日誌比較簡單,下面介紹的ssh日誌就複雜多啦
由上面第一條正則處理的歸一化事件如下圖所示。
接著我們看看第二條正則在處理「無效使用者」是如何生成歸一化事件的
接著看一條ssh日誌外掛程式正規表示式
經過處理後生成對應的歸一化事件,如下圖所示。
下回有時間再講講cisco-asa外掛程式。
看完這些事例,有人感覺到乙個問題,歸一化之後的事件內容,比原始日誌富含的資訊多了,為什麼?若大家想詳細了解這種基於外掛程式的日誌採集處理方式,請參考《開源安全運維平台-ossim最佳實踐》一書。
2 感測器 動作感測器
動作感測器概述 android平台支援一些用於監視裝置動作的感測器 這樣的感測器共有5個 其中兩個 加速感測器和陀螺儀感測器 是純的硬體感測器。另外三個 重力感測器 線性加速感測器和旋轉向量感測器 可能是硬體感測器,也可能是軟體感測器。例如,在一些android裝置中,這些基於軟體的感測器會從加速和...
感測器與感測器融合
在乙個無法預知全部資訊的多變環境中,對於移動機械人而言利用感測器實時識別當前環境是最為重要的一環。對於乙個生物而言,視覺能夠提供豐富的資訊並利用這些資訊來導航 計畫 決策。相同的對於移動機械人而言,視覺也是基本的標配感測器。隨著影象處理技術的發展,這種情況尤其明顯。影象處理技術有助於從靜止或移動的攝...
感測器 1 感測器緒論
感測器 測量儀表火組成元件是否準確可靠 測量方法是否完善 測量儀表安裝 調整或放置是否正確合理 感測器或儀表工作場所的環境條件是否符合規定條件 測量者操作是否正確 二 系統誤差的消除 在測量結果中進行修正 消除系統誤差的根源 在測量系統中採用補償措施 實時反饋修正 以正態分佈為前提 例題 mems工...