如何通過rsyslog將日誌發送到遠程日誌服務器？

我對ossim很新穎。我已經安裝OSSIM 3.1到虛擬機（VMware的）如何通過rsyslog將日誌發送到遠程日誌服務器？

我有2個問題：

從OSSIM-設置

1）我已啓用SYSLOG。現在我在ANALYSIS-> SIEM中收到大量系統日誌消息。我如何修改記錄速度？我如何管理系統日誌配置？我查找了syslog conf文件，但沒有。我只能找到rsyslog文件。而且，如果我做

alienvault:~# ps aux | grep sys 
root  3481 0.1 0.0 2492 1416 ?  S 08:51 0:12 /var/ossec/bin/ossec syscheckd 
root  5951 0.0 0.0 35512 1416 ?  Sl 08:58 0:00 /usr/sbin/rsyslogd -c3 -x 
root  18427 0.0 0.0 1716 636 pts/0 S+ 11:29 0:00 grep --color=auto sys

我得到的只有rsyslogd運行

2）我從OSSIM-設置中啓用Dionaea，我想送其日誌沒有任何結果OSSIM。我該怎麼做？之後，我是否想做其他事情讓ossim將Dioanea的日誌與其他日誌關聯起來？

謝謝

來源

2012-05-16 Gappa

從rsyslog的日誌轉發可以很容易地設置。你需要編輯/etc/rsyslog.conf文件，並添加以下行：

*.* @@remote-host:514

這將設置您的本地rsyslog現在轉發所有系統日誌消息到「遠程主機」，514是rsyslogd服務器的端口號。您可以在要發送日誌的位置的所有客戶端上添加上面的行。你可以在The official Rsyslog Project Website

來源

2012-07-11 07:02:20

瞭解更多關於它的信息檢查遠程服務器上的rsyslog配置（默認情況下它位於/etc/rsyslog.conf）。它可能使用UDP或TCP。如果是UDP，使用

*.* @hostname:<port>

如果它是TCP，

*.* @@hostname:<port>

您可以通過檢查該行獲得的端口號 -

$UDPServerRun <port> 
$TCPServerRun <port>

你可以用rsyslog現在設置過濾規則基於您的Dioanea服務器的主機名或IP地址，並將其寫入單獨的文件（如果多數民衆贊成你想要的）。

來源

2013-07-22 02:11:19 A23

有，給你送Dionaea事件日誌的能力，最近的補丁：

http://sourceforge.net/p/nepenthes/mailman/message/32024205/

來源

2014-03-17 20:59:46 rsFF

如何通過rsyslog將日誌發送到遠程日誌服務器？

回答

相關問題