Вопрос по анализу лог файлов

0

2

Всем привет!
Занимаюсь настройкой системы логирования, собрал ее на Debian'е, она состоит из OSSEC'а, prelude-lml’a, prelude-manager’a и других полезностий. К OSSEC'у подключены контроллеры домена на форточках. OSSEC используется для сохранения виндового лога в отдельный файлик (через syslog-output). Далее за работу берется prelude-lml, он берет OSSEC’овский лог-файл и аккуратно нарезает его в IDMEF (имхо это на порядок удобнее, чем prelude-output), передает разобранный лог prelude-manager’у, который в свою очередь укладывает это все в БД. Система несколько громоздка, но все работает.
В недавнее время появилось желание логировать керберосовскую аутентификацию, но логировать не каждое событие, а одно в ограниченный промежуток времени, от одного пользователя, с одного хоста. То есть: если я прошел аутентификацию на компьютере с адресом 10.0.0.1, под логином User1 событие должно создаться; если вышел/вошел, система должна проигнорировать это событие; если вошел как User2 на этом компьютере (или как User1 на другом компьютере), событие должно создаться. Т.е. не хочу логировать повторную аутентификацию (некоторое время), иначе лишними логами базу замусорит.
Для этого поправил декодер и сигнатурки OSSEC'а, правило стало выглядеть приблизительно так:
<rule ... timeframe=«60» ignore=«60»>
...
<same_user />
<same_source_ip />
</rule>
Но это не помогло, сигнатура игнорит все керберосовские события после первого срабатывания... Подскажите как можно решить такую задачу, может кто это уже делал и готов поделиться опытом?

Ссылка

←	насколько реально опасно ходить в интернеты через открытый вай-фай?

Как сделать TCP Injection?

→

А как вообще этот OSSEC, почитал на сайте - заинтересовало. Как работает в двух словах, как можно мониторить логи (веб и т.д.), уведомления? Расскажите в двух словах.

anton_jugatsu ★★★★
(24.08.11 09:32:52 MSK)

Ответ на: комментарий от anton_jugatsu 24.08.11 09:32:52 MSK

Присоединяюсь к вопросу.

FreeBSD ★★★
(24.08.11 13:00:58 MSK)

мы потыркались с ossec, и в итоге перешли на OSSIM

lazyklimm ★★★★★
(24.08.11 13:12:28 MSK)

Ответ на: комментарий от FreeBSD 24.08.11 13:00:58 MSK

2 anton_jugatsu & FreeBSD
OSSEC это HbIDS. Если в двух словах, примерно так:
Устанавливается сервер OSSEC, устанавливаются клиенты, клиенты подключаются к серверу, после этого они начинают отдавать серверу свои логи. На сколько я понял, обработка лога происходит на стороне сервера, а не на стороне клиента (в отличии от Prelude-LML, который обрабатывает логи на клиенте, а Prelude-Manager'у отдает только выхлоп в виде разобранного события, но он не HbIDS, он лог монитор), так же у этой системы есть проверялка чек-сумм и другие полезности. Сервер OSSEC'а наччинает обработку лога, сначала идёт предекодер, который говорит чей это лог (лог cisco, linux, windows... , лог программы, такой как антивирус, ssh, apache), далее лог обрабатывается правилами декодера, который уже знает чей это лог (например SSH) и выковыривает из него некоторые переменные (к примеру ip машины с которой подключались и имя пользователя), а потом уже к этому выводу применяются правила, которое уже определяет что делать (вывод в syslog, prelude и т.д.). Это можно наглядно посмотреть, запустив ossec-logtest.
Уведомления умеет, я правда их не использую, prelude'овские намного гибче настраиваются, использую их. Логи популярных веб серверов, что прелюд, что оссек умеют обрабатывать из коробки.
WUI OSSEC'а по моему мнению неудобен и ужасен, страшнее только BASE, WUI лучше взять другой. Мне prewikka понравилась, собственно только ее можно использовать с prelude'ом, но если не использовать прелюд есть ещё альтернативы.
2 lazyklimm
Отказались совсем от OSSEC'a или используете его в OSSIM'e?

По сабжу, мне кажется, что спасет меня только перловый скрипт... Придётся курить перл, ох не хотел я этого...

JaL
(24.08.11 23:53:25 MSK) автор топика