Некоторое время назад я писал об использовании OSSEC в качестве sudo SIEM для отправки журналов с различных серверов на один сервер OSSEC и использования корреляции для предупреждений о отключениях. В целом это решение работало очень хорошо, но недавно мне пришлось разделить журналы для балансировки нагрузки, поэтому теперь у меня есть что-то вроде:
OSSEC Server
Каждый файл журнала записывается другим сервером системного журнала в целях балансировки нагрузки, и он в целом работает довольно хорошо. Однако проблема, с которой я сталкиваюсь, заключается в том, что OSSEC может запускать правила корреляции для каждого файла журнала по отдельности, но если есть 4 неудачных входа в систему, и они распределены по 4 файлам журнала, OSSEC будет видеть только 1 для каждого экземпляра, а не предупреждение о 4 неудачных попытках входа в систему от 1 пользователя.
Есть ли способ заставить OSSEC обрабатывать файлы как один? Я ищу другие решения, такие как файловая система gluster / cluster, где я могу писать с нескольких серверов в один файл, что решит проблему.
Меня неправильно информировали о том, как OSSEC обрабатывает журналы. В этом форуме Хесус Линарес пояснил, что OSSEC группирует журналы на основе «декодировано как» и одинаково обрабатывает несколько форматов журналов.
Я также подтвердил это, проверив, что корреляция 6 неудачных попыток входа на самом деле имела отдельные журналы более 4 различных файлов журналов.