不久前,我发布了关于将 OSSEC 用作 sudo SIEM 的帖子,将日志从各种服务器发送到一个 OSSEC 服务器并使用相关性来触发警报。总体而言,该解决方案运行良好,但我最近出于负载平衡的原因不得不划分日志,所以现在我有了以下内容:
OSSEC 服务器
- /mnt/logs/unix1.log
- /mnt/logs/unix2.log
- /mnt/logs/unix3.log
- /mnt/logs/unix4.log
出于负载平衡的原因,每个日志文件都由不同的 syslog 服务器写入,并且总体上运行良好。但是,我遇到的问题是 OSSEC 可以单独针对每个日志文件运行关联规则,但是如果有 4 次登录失败并且它们恰好分布在 4 个日志文件中,则 OSSEC 只会在每个实例上看到 1,而不是来自 1 个用户的 4 次登录失败警报。
有没有办法让 OSSEC 将文件视为一个文件?我正在寻找其他解决方案,例如 gluster/cluster 文件系统,我可以在其中从多个服务器写入一个文件,从而解决问题。
我被误导了 OSSEC 如何处理日志。根据这个论坛,Jesus Linares 澄清说,OSSEC 将日志分组以“解码为”为基础,并以相同的方式处理多种日志格式。
我还通过验证 6 次失败的登录关联实际上有超过 4 个不同日志文件的单独日志来确认这一点。