裡面有個好用的 bro ids 可以獨立安裝
已經裝起來跑了一段時間了
效果不錯
做個記錄
首先安裝
我是裝在centos 7上 按照文件把該補的rpm補一下
make 時要花一點時間
裝好後修改
/usr/local/bro/etc/node.cfg
裡的監聽interface (使用port mirror)
然後在/etc/rc.local加上
/usr/local/bro/bin/broctl start 開几啟動
所有的相關記錄會放在
/usr/local/bro/logs/current
歷史資料會按日期分開
分門別類 相當完整 可以依照個自的需求針對某個檔案進行解析
capture_loss.log files.log pe.log software.log stderr.log weird.log
conn.log http.log radius.log ssh.log stdout.log x509.log
dns.log known_hosts.log smtp.log ssl.log syslog.log
dpd.log notice.log snmp.log stats.log tunnel.log
我是利用rsyslog把需要的資料丟出來到graylog
建立/etc/rsyslog.d/bro.conf
範例如下
$InputFileName /usr/local/bro/logs/current/sip.log
$InputFileTag bro_sip:
$InputFileStateFile stat-bro_sip
$InputFileSeverity info
$InputFileFacility local7
$InputRunFileMonitor
# check for new lines every second
$InputFilePollingInterval 1
# To the ELSA test server!:
local7.info @1.2.3.4:514
目前graylog的marketplace只有一個Content Pack 是解析從security onion丟來的log
所以如果要統計一下來源 ip要自己再寫一下extractor
而且因為每個log檔的格式不盡相同
所以要依需求產生不同的extractor
沒有留言:
張貼留言