基于OSSIM平台下H3C华三交换机日志收集插件编写

大家在具有上一篇《基于OSSIM平台下华为交换机日志收集插件的开发》 基础之后,下面继续分享H3C交换机插件的内容:

[DEFAULT]

plugin_id=1712

[config]

type=detector

enable=yes

source=log

location=/var/log/h3c-switch.log

create_file=yes

process=

start=no

stop=no

restart=no

startup=

shutdown=

[translation]

CLKCHANGE=1

NTP_LOG=2

PFWD=3

PHONY_MODULE=4

RX_POW_NORMAL=5

RX_POW_LOW=6

LOGOUT=7

LOGINFAIL=8

[0001 - H3C-ETH-SWITCH LOGIN LOGOUT]

event_type=event

precheck="because"

regexp="(?P\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)\s+\S+\s+(?P\S+)\s+\%\%\d+(?P\S+)\/(?P\d+)/(?PLOGOUT|LOGINFAIL)\(\w+\)\:\s+(?P[A-Z]+).*?(?P\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).*?because\s?\:(?P.*)"

date={normalize_date($date)}

plugin_sid={translate($sid)}

device={$host}

src_ip={$client_ip}

userdata1={$module}

userdata2={$severity}

userdata3={$reason}

userdata4={$service}

[0002 - H3C-ETH-SWITCH]

event_type=event

regexp="(?P\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)\s+\S+\s+(?P\S+)\s+\%\%\d+(?P\S+)\/(?P\d+)\/(?P\S+)\(.*?\:(?P.*)"

date={normalize_date($date)}

plugin_sid={translate($sid)}

device={$host}

userdata1={$module}

userdata2={$severity}

userdata3={$explanation}

有关基于插件收集日志的内容,大家可参考《开源安全运维平台OSSIM最佳实践》一书。

时间: 2024-11-03 21:53:03

基于OSSIM平台下H3C华三交换机日志收集插件编写的相关文章

基于J2EE平台下SSH2+JBPM4.4+ExtJs4.1 框架整合&项目实战

基于J2EE平台下SSH2+JBPM4.4+ExtJs4.1 框架整合&项目实战 推荐给大家一套企业实战项目开发的教程. 课程包含了以下主要的技术面:前端采用Extjs4.x:后台使用目前中小型开发较为常用的SSH2作为框架,囊括了JBPM4.4工作流引擎. 课程经由基础学习向高阶跨进,一步一步介绍了前后台的关系,以及前后台的整合.JBPM的整合等等,都是属于目前较为重要的技术点. 咨询QQ:1609173918 课程大纲: 第1讲:课程概要_Extjs入门: 第2讲:Grid与Store的应用

华三交换机链路聚合的几点思考

二层静态聚合配置举例 1. 组网需求 ·     Device A与Device B通过各自的二层以太网接口GigabitEthernet1/0/1-GigabitEthernet1/0/3相互连接. ·     在DeviceA和Device B上分别配置二层静态链路聚合组,并实现设备间VLAN 10和VLAN 20分别互通. 2. 组网图 图1-5 二层静态聚合配置组网图 3. 配置步骤 (1)     配置Device A #创建VLAN 10,并将端口GigabitEthernet1/0

基于J2EE平台下SSH2+JBPM4.4+ExtJs4.1 框架整合&项目实战(HR项目开发、SSH2作为框架)

对这个课程有兴趣的朋友可以加我的QQ2059055336和我联系 课程讲师:ANDY 课程分类:Java 适合人群:中级 课时数量:46课时 用到技术:Extjs.SSH2.Mvc 涉及项目:HR项目用户管理.Extjs树形结构.流程接口 更新程度:完成 课程包含了以下主要的技术面:前端采用Extjs4.x:后台使用目前中小型开发较为常用的SSH2作为框架,囊括了JBPM4.4工作流引擎.课程经由基础学习向高阶跨进,一步一步介绍了前后台的关系,以及前后台的整合.JBPM的整合等等,都是属于目前较

基于J2EE平台下SSH2+JBPM4.4+ExtJs4.1 框架整合&项目实战

基于J2EE平台下SSH2+JBPM4.4+ExtJs4.1 框架整合&项目实战(HR项目开发.SSH2作为框架) 对这个课程有兴趣的朋友可以加我的QQ2059055336和我联系 课程讲师:ANDY 课程分类:Java 适合人群:中级 课时数量:46课时 用到技术:Extjs.SSH2.Mvc 涉及项目:HR项目用户管理.Extjs树形结构.流程接口 更新程度:完成 课程包含了以下主要的技术面:前端采用Extjs4.x:后台使用目前中小型开发较为常用的SSH2作为框架,囊括了JBPM4.4工作

VRRP原理与配置 华为、华三交换机,路由器

虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP),是一个IP协议族,我们知道IP协议族里面有ICMP.OSPF,VRRP也是IP协议族的一员,协议号为112.在VRRP里面,设备有两种角色(Master,Backup),其中Master负责跑业务流量,而Backup负责备份,当Master挂掉之后,Backup自动抢占为Master,然后所有的数据从Master上走 .VRRP主要是用来做出口链路的冗余备份的,可以有多个网关设备加入一个备份组

基于OSSIM平台下华为交换机日志收集插件的开发

长期以来,大家在收集华为交换机日志是往往通过syslog协议转发的方式,将华为交换机日志转发到日志收集器上,简单存储,但这样并没有将日志标准化,也就是OSSIM中对日志的归一化处理,在<开源安全运维平台-OSSIM最佳实践>一书的第七章专门讲解了日志收集与插件的自定义,本文将继续本书内容,为大家分享华为交换机插件,根据书中讲解,我们在OSSIM Agent插件目录中建立插件名称,huawei.cfg,编写插件大致格式可按书里面内容编写,不过还需要注意插件的导入过程,下面举个华为插件的实际例子.

思科、华为、华三交换机的线缆检测功能

通俗地说线缆检测可以检测交换机接口到终端之间的网线情况.不管是思科还是华为.华三,在线缆检测时都使用了时域反射time domain reflectometer (TDR)技术.通过时域反射TDR (Time Domain Reflectometry)检测电缆状态的原理如下:交换机发送一个脉冲信号,脉冲信号在电缆中传输,如果遇到电缆末端或其它故障点,部分能量会被反射回来,这种现象称为时域反射.线缆检测技术就是测量脉冲在电缆中传输.达到故障点及返回的时间,把测量到的时间转换成距离.华为和华三称之为

基于Windows 平台下的AD 审计,关注所有域内变化

Netwrix AD审计工具 Netwrix AD审计工具可以提供关于AD和组策略内部正在发生的变化的安全分析,用这些数据可以减轻特权滥用的风险,证明IT合规性并简化故障排除. Netwrix Auditor forActive Directory功能包括: 密码过期提醒的功能 AD审计(AD Auditing), 组策略审计(GroupPolicy Auditing), 非活跃用户追踪(InactiveUser Tracking), AD对象恢复(AD Object Restores), Wi

华三交换机mstp生成树配置

1.查看交换机上应用的配置文件 [H3C]dis startup Current startup saved-configuration file: flash:/config.cfg Next main startup saved-configuration file: flash:/config.cfg Next backup startup saved-configuration file: NULL 2.配置主备配置文件 <h3c>startup saved-configuration