-
安装Snare,
随便找了个版本下载下来,安装一路next,除了中间让你输入一次http的管理登录口令。
2,配置
之后打开URL:http://192.168.37.23:6161/,输入默认的用户snare和前面设置的口令
出现管理界面了,
我们配置syslog主要是设置如下参数,看见514,应该知道是什么了
3,验证
在linux上查看syslog日志,可以看见已经过来了
-
余下的就和使用word一样操作日志配置,系统的远程管理设置等了。
4,ossim支持
如果想用再ossim上,需要修改
process=rsyslogd
start=no ; launch plugin process when agent starts
stop=no ; shutdown plugin process when agent stops
startup=/etc/init.d/rsyslog start
shutdown=/etc/init.d/rsyslog stop
source=log
location=/var/log/snare.log
create_file=true
再到
alienvault:/etc/ossim# cat /etc/rsyslog.d/snare.conf
if $msg contains '192.168.1.8' then -/var/log/snare.log
if $rawmsg contains 'EventLog' then -/var/log/snare.log
~
之后重启ossim-agent和rsyslog服务就可以了。