четверг, 21 июня 2012 г.

Сбор логов по сети

Давно хотел сделать сбор логов по сети. И вот решил поставить OSSIM. Пакет умеет собирать логи с разных систем и устройств. В частности и из Windows. Для этого есть два варианта. Пакет Snare 


 или OSSEC.


Оба пакета представляют собой программы устанавливаемые на систему и пересылающие логи на сервер. В моем случае сервер OSSIM. Установка простая. В системе появляется новый сервис.

В случае со Snare есть два варианта работы. Первый вариант с агентом, второй без агента. Пробовал оба. Без агента интересней, но у меня он пока не заработал. Думаю из за того, что нужен отдельный логин с правами. 

С агентом проще, но тоже есть свои тонкости. В частности, возникла проблема с русским языком. У меня установлены в основном Windows  с русским языком. И логи там  тоже на русском. Правда проблема не в агенте. Он честно шлет русские логи. Проблема в сервере. Т.е. он не понимает русский язык. Смена локали не особо помогла. Хотя думаю, что проблема в моей кривизне рук.

С OSSEC вариант только с агентом. Агент устанавливается просто. После этого необходимо запустить графический интерфейс (не обязательно) и прописать адрес сервера и ключ. Адрес нам известен, а ключ создается не сервере. Его необходимо скопировать и вставить в соответствующее поле агента. После этого OSSEC шлет логи на сервер. Кроме этого, он умеет отслеживать изменения файлов, реестра, искать руткиты. 

 В целом OSSEC понравился больше. Основная проблема с этими пакетами в сервере. Т.к. именно он обрабатывает логи и именно у него возникают трудности с русским языком. Но это решаемая проблема.