用OSSIM輕鬆分析網絡設備日誌

用OSSIM輕鬆分析網絡設備日誌

 

     基於插件的日誌收集與處理模式，使得用戶能夠輕鬆的利用OSSIM來分析異構網絡環境下的各類網絡設備日誌，下面展現一些硬件設備日誌的實例，咱們在RAW LOG界面裏，搜索欄輸入Cisco關鍵詞，當即列出數據源中已有Cisco 路由器、防火牆、交換機等各類搜索條件，你只要知道硬件型號基本都能找到對應數據源。首先以思科ASA防火牆爲例來爲你們說明。

 

在系統中經過餅圖將各種日誌直觀的展示給用戶，便於查閱。

從網絡設備日誌收集的日誌，通過插件歸一化處理以後，轉換爲標準化事件，

上面顯示的這十幾個大類，僅經過事件名就能猜出來吧。下面，咱們以ASA:ICMP Denied事件爲例，看看深刻發現什麼端倪。首先這種ICMP事件發生了11,189次，並且每條事件詳情以下圖所示。

其實原始日誌爲:

Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside

若是讓你長期看這些單調的原始日誌，確定會發瘋的。仍是Cisco ASA插件幫忙，才能把日誌處理的如此利索。插件究竟是個什麼東西？下面看個例子（以OSSIM中 Cisco ASA插件爲例）

插件位置：
/etc/ossim/agent/plugins/cisco-asa.cfg

該插件適用範圍：
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各個版本

插件ID編號：1636

插件類型：detector

原始日誌存儲位置：/var/log/cisco-asa.log

 下面是處理這條日誌的正則表達式：

爲了深刻分析，下一步就要知道這類日誌產生的頻率以及變化趨勢，要實現就交給Timeline吧。

收集cisco交換機日誌

 

下面是OSSIM中收集的飛塔(Fortinet)防火牆日誌分類:

入庫的無線AP的事件

 注意：不支持中文日誌。

好了，相似Cisco ASA這樣的插件系統裏到底有多少呢？咱們看看下面的圖示。

更多OSSIM有趣的內容請參考暢銷書《Unix/Linux網絡日誌分析與流量監控》。