開源OSSIM系統具有日誌採集和分析的能力嗎？

首次安裝完OSSIM系統以後，進入WebUI界面發現RAWLogs菜單下沒有內容，難免會心存疑慮，開源OSSIM是否具有日誌採集和分析的能力。

RAW LOGS是一個原始日誌可視化展現的模塊，在商業版的OSSIM提供，開源版不提供此功能。開源版OSSIM具有完整的日誌採集處理和分析的能力。

下面咱們以收集分析Linux下的SSH日誌爲例進行說明。如下是一臺以 All IN ONE 模式安裝的開源OSSIM 5.0爲例。

Linux下SSH遠程登陸服務器失敗的日誌記錄在/var/log/auth.log,內容以下：

Oct 25 19:44:21 alienvault sshd[14154]: Failed password for invalid user admin from 192.168.11.13 port 49767 ssh2

該日誌通過歸一化處理以後，經過事件通過加密發送到OSSIM Server，隨後存入數據庫。SIEM控制檯會顯現這條安全事件。

點擊上圖中任何一條，查看安全事件以下：

在上圖安全事件的最下方，咱們能夠發現RAW log記錄了原始日誌信息。

SSH 暴力破解***日誌分析實戰

小張在服務器中發現了一些蛛絲馬跡，auth.log文件有不少不明IP經過22端口嘗試以ssh用戶名密碼的方式登陸服務器....隨後手動在命令行下輸入下面的命令。

#grep "Failed password "/var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

2990 Failed
2208 222.186.50.190
654 94.102.3.151
303 106.186.21.162
299 115.239.248.90

經過日誌分析頗有可能SSH暴力破解***，這種判斷方式費時費力。下面咱們看看開源OSSIM系統是如何發現這種***方式。若是事先已經在線部署了OSSIM以後，遇到SSH暴力破解***時，在很短的時間內在OSSIM的Web控制檯下會出現下面的可視化報警界面：

經過中間的一排氣泡圖，咱們能夠發現這是暴力***，但沒法肯定具體行爲，那麼咱們點擊其中的一個氣泡，系統會顯示下列詳細信息。

從上圖能夠很清晰的發現這是針對目標服務器SSH端口發起的暴力破解***。接着點擊」View Details」。

系統顯示SSH 暴力破解***，肯定無疑。這一故障診斷過程也不太短短１一分鐘。這種暴力破解在auth.log上產生的日誌會被OSSIM Agent採集並生成安全事件，統一存儲在OSSIM Server中。下面咱們查看其中一條事件。

對於暴力破解***日誌，OSSIM有內置的關聯分析引擎會觸發響應的報警。咱們在上面發現的氣泡圖就是通過關聯分析以後發出的可視化報警。

爲何開原版OSSIM有這麼智能的SSH***報警呢？主要因其基於插件的日誌採集和以及關聯分析引擎。在OSSIM傳感器中內置了400多種常見網絡設備日誌和網絡服務日誌的分析插件，加載就能使用。若是你搭建過ELK日誌分析系統的經歷，就會深深體會到在OSSIM裏，加載一款插件是多麼的easy！若是你想更加深刻了解OSSIM這個SIEM平臺，可查看OSSIM疑難解析這套圖書。