走近OSSIM传感器(Sensor)插件

走近OSSIM传感器(Sensor)插件

在上一篇博文介绍完OSSIM架构何组成,接着要介绍它“神秘”的插件,阅读插件前提示您熟练掌握正则表达式。

Sensor启用插件列表

[plugins]

apache=/etc/ossim/agent/plugins/apache.cfg

nmap-monitor=/etc/ossim/agent/plugins/nmap-monitor.cfg

ossec-single-line=/etc/ossim/agent/plugins/ossec-single-line.cfg

ossim-monitor=/etc/ossim/agent/plugins/ossim-monitor.cfg

pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg

ping-monitor=/etc/ossim/agent/plugins/ping-monitor.cfg

prads_eth0=/etc/ossim/agent/plugins/prads_eth0.cfg

ssh=/etc/ossim/agent/plugins/ssh.cfg

sudo=/etc/ossim/agent/plugins/sudo.cfg

suricata=/etc/ossim/agent/plugins/suricata.cfg

whois-monitor=/etc/ossim/agent/plugins/whois-monitor.cfg

wmi-monitor=/etc/ossim/agent/plugins/wmi-monitor.cfg

Sensor插件将预处理数据发往Server,定义如下

[output-server]

enable=True

ip=192.168.91.228

port=40001

send_events=True

下面已Apache插件为例,看看插件中的正则表达式:

[0001 - apache-access] 访问日志

event_type=event

regexp=((?P\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(:(?P\d{1,5}))? )?(?P\S+) (?P\S+) (?P\S+) \[(?P\d{2}\/\w{3}\/\d{4}:\d{2}:\d{2}:\d{2})\s+[+-]\d{4}\] \"(?P[^\"]*)\" (?P\d{3}) ((?P\d+)|-)( \"(?P[^\"]*)\" \"(?P[^\"]*)\")?$

src_ip={resolv($src)}

dst_ip={resolv($dst)}

dst_port={$port}

date={normalize_date($date)}

plugin_sid={$code}

username={$user}

userdata1={$request}

userdata2={$size}

userdata3={$referer_uri}

userdata4={$useragent}

filename={$id}

[0002 - apache-error] 错误日志

event_type=event

regexp=\[(?P\w{3} \w{3} \d{2} \d{2}:\d{2}:\d{2} \d{4})\] \[(?P(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?P\S+)\] )?(?P.*)

date={normalize_date($date)}

plugin_sid={translate($type)}

src_ip={resolv($src)}

userdata1={$data}

如果您对Apache日志基本格式不太了解请参看《Unix/Linux网络日志分析与流量监控》一书。

如果您是通过syslog转发apache日志,那么正则该这样写:

[0001 - apache-syslog-access]
event_type=event
regexp=^\w{3}\s+\d{1,2} \d\d:\d\d:\d\d (?P\S+) \S+: ((?P\S+)(:(?P\d{1,5}))? )?(?P\S+) (?P\S+) (?P\S+) \[(?P\d{2}\/\w{3}\/\d{4}:\d{2}:\d{2}:\d{2})\s+[+-]\d{4}\] \"(?P.*)\" (?P\d{3}) ((?P\d+)|-)( \"(?P.*)\" \"(?P.*)\")?$
src_ip={resolv($src)}
dst_ip={resolv($dst)}
dst_port={$port}
device={resolv($device)}
date={normalize_date($date)}
plugin_sid={$code}
username={$user}
userdata1={$request}
userdata2={$size}
userdata3={$referer_uri}
userdata4={$useragent}
filename={$id}

[0002 - apache-syslog-error]
event_type=event
regexp=^(?P\w{3}\s+\d{1,2} \d\d:\d\d:\d\d) (?P\S+) \S+: \[(?P(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?P\S+)\] )?(?P.*)
date={normalize_date($date)}
dst_ip={resolv($device)}
device={resolv($device)}
date={normalize_date($date)}
plugin_sid={translate($type)}
src_ip={resolv($src)}
userdata1={$data}

每类插件对应了一个插件ID,大家在使用SIEM事件分析时要牢记该ID号(看多了就懂了),若大家想详细了解这种基于插件的日志采集处理方式,请参考《开源安全运维平台-OSSIM最佳实践》一书。

时间: 2024-10-15 01:56:12

走近OSSIM传感器(Sensor)插件的相关文章

OSSIM传感器中Agent传送机制初探

在OSSIM传感器在通过GET框架实现OSSIM代理和OSSIM服务器之间通信协议和数据格式的转换.下面我们简要看一下ossim-agent脚本:#!/usr/bin/python -OOtimport syssys.path.append('/usr/share/ossim-agent/')sys.path.append('/usr/local/share/ossim-agent/')from ossim_agent.Agent import Agentagent = Agent()agent

利用传感器(sensor)实现微信摇一摇动画

所需要的权限: <uses-permission android:name="android.permission.VIBRATE"></uses-permission> xml文件: <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/and

安卓方向传感器Sensor.TYPE_ORIENTATION废弃之后获得方向信息

安卓方向传感器Sensor.TYPE_ORIENTATION已经在安卓中不推荐使用了,用getOrientation来代替,用这个却不像以前那样一下就可以拿到数据,需要同时使用地磁传感器和加速度传感器来获取,代码如下: package com.catcher.testcompass; import android.app.Activity; import android.hardware.Sensor; import android.hardware.SensorEvent; import an

Android中传感器Sensor的使用

Android中传感器Senso的使用 1.Sensor类型 Android中有多种传感器,目前Android SDK支持的传感器有:光线传感器,旋转向量传感器,压力传感器,陀螺仪传感器,加速度传感器,重力传感器,方向传感器,磁场传感器,近程传感器等.但并不是所有手机都具有全部传感器,一般高端手机具有大多数传感器,毕竟传感器都需要money的,价格自然不菲. 2.Sensor实际应用  那么在Android开发中,如何使用传感器,将传感器功能添加到Android应用中呢,例如微信的摇一摇,通过加

传感器 Sensor 加速度【示例】

简介 坐标系 x轴:从左到右 y轴:从下到上 z轴:从内到外 这个坐标系与Android 2D API中的不同,传感器中的返回值都以此坐标系为准. SENSOR_TYPE_ACCELEROMETER       1 //加速度 SENSOR_TYPE_MAGNETIC_FIELD      2 //磁力 SENSOR_TYPE_ORIENTATION         3 //方向 SENSOR_TYPE_GYROSCOPE           4 //陀螺仪 SENSOR_TYPE_LIGHT 

Android 开源项目android-open-project工具库解析之(二) 高版本向低版本兼容,多媒体相关,事件总线(订阅者模式),传感器,安全,插件化,文件

六.Android 高版本向低版本兼容 ActionBarSherlock 为Android所有版本提供统一的ActionBar,解决4.0以下ActionBar的适配问题 项目地址:https://github.com/JakeWharton/ActionBarSherlock Demo地址:https://play.google.com/store/apps/details?id=com.actionbarsherlock.sample.demos APP示例:太多了..现在连google都

传感器Sensor的使用-距离感应(听筒模式)

对听筒附近的距离感应装置进行监听-靠近(0),远离(1) 1.需要导入的包 import android.hardware.Sensor;import android.hardware.SensorEvent;import android.hardware.SensorEventListener;import android.hardware.SensorManager; 2.创建对应的对象 private SensorManager sm = null;    private SensorLi

16、传感器(Sensor)

一.什么是传感器 传感器是一种物理装置或生物器官,能够探测.感受外界的信号.物理条件(如光.热.湿度)或化学组成(如烟雾),并将探知的信息传递给其他装置或器官.国家标准GB7665—87对传感器的定义是:“能感受规定的被测量并按照一定的规律转换成可用信号的器件或装置,通常由敏感元件和转换元件组成”.传感器是一种检测装置,能感受被测量的信息,并能将检测的感受到的信息,按一定规律变换成为电信号或其他所需形式的信息输出,以满足信息的传输.处理.存储显示.记录和控制等要求.它是实现自动检测和自动控制的首

Sensor传感器(摇一摇)

<ImageView android:layout_width="wrap_content" android:layout_height="wrap_content" android:src="@drawable/flower"/> <LinearLayout android:layout_width="wrap_content" android:layout_height="wrap_conten