用OSSIM轻松分析网络设备日志

用OSSIM轻松分析网络设备日志

 

     基于插件的日志收集与处理模式，使得用户能够轻松的利用OSSIM来分析异构网络环境下的各类网络设备日志，下面展现一些硬件设备日志的实例，咱们在RAW LOG界面里，搜索栏输入Cisco关键词，当即列出数据源中已有Cisco 路由器、防火墙、交换机等各类搜索条件，你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为你们说明。

 

在系统中经过饼图将各种日志直观的展示给用户，便于查阅。

从网络设备日志收集的日志，通过插件归一化处理以后，转换为标准化事件，

上面显示的这十几个大类，仅经过事件名就能猜出来吧。下面，咱们以ASA:ICMP Denied事件为例，看看深刻发现什么端倪。首先这种ICMP事件发生了11,189次，并且每条事件详情以下图所示。

其实原始日志为:

Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside

若是让你长期看这些单调的原始日志，确定会发疯的。仍是Cisco ASA插件帮忙，才能把日志处理的如此利索。插件究竟是个什么东西？下面看个例子（以OSSIM中 Cisco ASA插件为例）

插件位置：
/etc/ossim/agent/plugins/cisco-asa.cfg

该插件适用范围：
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各个版本

插件ID编号：1636

插件类型：detector

原始日志存储位置：/var/log/cisco-asa.log

 下面是处理这条日志的正则表达式：

为了深刻分析，下一步就要知道这类日志产生的频率以及变化趋势，要实现就交给Timeline吧。

收集cisco交换机日志

 

下面是OSSIM中收集的飞塔(Fortinet)防火墙日志分类:

入库的无线AP的事件

 注意：不支持中文日志。

好了，相似Cisco ASA这样的插件系统里到底有多少呢？咱们看看下面的图示。

更多OSSIM有趣的内容请参考畅销书《Unix/Linux网络日志分析与流量监控》。