1、安装Snare,随便找了个版本下载下来,安装一路next,除了中间让你输入一次http的管理登录口令,如下图所示:
2、配置之后打开URL:http://192.168.37.23:6161/,输入默认的用户snare和前面设置的口令,如下图所示:
3、出现管理界面,如下图所示:
4、我们配置syslog主要是设置如下参数,看见514,应该知道是什么了,如下图所示:
5、验证,在linux上查看syslog日志,可以看见已经过来了,如下图所示:
6、余下的就和使用word一样操作日志配置,系统的远程管理设置等了,如下图所示:
7、ossim支持
如果想用再ossim上,需要修改
process=rsyslogd
start=no ; launch plugin process when agent starts
stop=no ; shutdown plugin process when agent stops
startup=/etc/init.d/rsyslog start
shutdown=/etc/init.d/rsyslog stop
source=log
location=/var/log/snare.log
create_file=true
再到
alienvault:/etc/ossim# cat /etc/rsyslog.d/snare.conf
if $msg contains '192.168.1.8' then -/var/log/snare.log
if $rawmsg contains 'EventLog' then -/var/log/snare.log
~
之后重启ossim-agent和rsyslog服务就可以了。
