目的:すべてのサーバーのログを正しい形式で読み取ることができるOSSIMに転送します。
スピード:
- 各ネットワークゾーンに1つのNXlogコレクタ/エージェントノードを展開する - 完了
- 管理領域へのNXlogコレクタ/マスターノードのデプロイ - 完了
- 管理領域へのAlien Vault OSSIMの導入 - 完了
すべてのサーバーがセキュリティゾーンの外部にログを送信することは許可されていないため、すべてのログは管理ゾーンログ収集システムに配信されるローカルNXlogエージェントに転送する必要があります。
予想される結果:サーバーログ(システムログとアプリケーション固有のログ)は、NXlogエージェント> NXlogマスター> OSSIMに渡され、すべての情報が単一サーバーからのものと区別可能でなければなりません。
OSSIMと同様に、すべてのNXlogインスタンスが実行されています。データはOSSIMに入りますが、「分析/セキュリティイベント」で単一のイベントを開くと、詳細は不十分です。唯一の便利な部分は、次の項目を表示できる生のログフィールドです。
Feb 7 10:01:01 nxlog-collector run-parts(/etc/cron.hourly)[7695 finished 0anacron
これは、チェーンのどこかでさらに処理を行う必要があることを意味します。 Graylogサーバーでテストした結果、より良い結果が得られましたが、残念ながらAlien Vault OSSIM(オープンソース版)を使用する必要がありました。