Splunk做为日志分析平台与Ossec进行联动

时间  2019-11-13
标签 splunk 做为 日志 分析 平台 ossec 进行 联动 繁體版
原文   原文链接

背景:html

  Ossec安装后用了一段时间的analogi做为ossec的报警信息显示平台,可是查看报警分类信息、linux

以及相关图标展现等方面总有那么一点点的差强人意,难以分析。所以使用逼格高一点的splunk做为web

日志分析平台就变得颇有必要了。vim

 

操做:服务器

 1、ossec服务端配置dom

  (1)配置ossec数据转发至splunk监听端口字体

    [root@localhost html]# vim /opt/ossec/etc/ossec.confthis

  在<ossec_config>标签下添加<syslog_output>,内容以下,spa

  其中server标签的IP为接受syslog记录的服务端,即安装splunk服务的主机IP。3d

  端口为splunk的本地监听端口。

  <syslog_output>
    <server>192.168.129.134</server>
    <port>10002</port>
  </syslog_output>

  (2)使syslog_output模块生效并重启ossec服务端。

[root@localhost html]# /opt/ossec/bin/ossec-control enable client-syslog
[root@localhost html]# /opt/ossec/bin/ossec-control restart

 2、下载并安装splunk

  (1)从官网下载splunk(需注册),下载文件为splunklight-6.4.2-00f5bb3fa822-linux-2.6-x86_64.rpm

  (2)安装splunk:rpm -Uvh splunklight-6.4.2-00f5bb3fa822-linux-2.6-x86_64.rpm

[root@localhost Desktop]# rpm -Uvh splunklight-6.4.2-00f5bb3fa822-linux-2.6-x86_64.rpm 
warning: splunklight-6.4.2-00f5bb3fa822-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:splunk-6.4.2-00f5bb3fa822        ################################# [100%]
complete

  (3)启动splunk:# /opt/splunk/bin/splunk start (启动时会询问是否赞成许可,输入y后继续)

[root@localhost Desktop]# /opt/splunk/bin/splunk start

... ... 4. FORCE MAJEURE. Splunk will not be responsible for any failure or delay in its
performance under these Terms and Conditions due to causes beyond its reasonable
control, including, but not limited to, labor disputes, strikes, lockouts,
shortages of or inability to obtain labor, energy, raw materials or supplies,
war, acts of terror, riot, acts of God or governmental action.
Do you agree with this license? [y/n]:   y

... ...

  Waiting for web server at http://127.0.0.1:8000 to be available... Done


  If you get stuck, we're here to help. 
  Look for answers here: http://docs.splunk.com

  The Splunk web interface is at http://127.0.0.1:8000

  (4)Splunk的web接口为http://127.0.0.1:8000,尝试访问。

  (5)首次登陆请先按着提示输入admin/changeme后,设定新的密码。以后的登陆信息为admin+你设定的新密码。

  (6)登陆成功

 3、配置Splunk接收来自Ossec的日志转发

  (1)splunk的默认安装路径为/opt/splunk,编辑/opt/splunk/etc/system/local/inputs.conf文件添加如下红色字体内容

    指定的ip为ossec服务器的IP地址。

[root@localhost local]# vim /opt/splunk/etc/system/local/inputs.conf 

[default]
host = localhost.localdomain

[udp://192.168.129.128:10002] # IP address of OSSEC server
disabled = false
sourcetype = ossec

  (2)重启Splunk服务

# /opt/splunk/bin/splunk restart

 4、Splunk数据导入

  (1)导入页面

  

 数据已成功导入

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程