用OSSIM分析网络设备日志
基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM分析异构网络环境下的各种网络设备日志,我们在RAW LOG界面在,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等搜索条件,你只要知道硬件型号基本都能找到对应数据源。下面以思科ASA防火墙为例来为大家说明。
在系统中通过饼图将各类日志的数量直观的展现给用户,方便查阅。
从网络设备日志收集的日志,经过插件归一化处理之后,转换为标准化事件,
上面显示的这十几个大类,仅通过事件名就能猜出来吧。下面,我们以ASA:ICMP Denied事件为例,看看深入发现什么端倪。首先这种ICMP事件发生了11,189次,而且每条事件详情如下图所示。
其实原始日志为:
Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside
如果让你长期看这些单调的原始日志,肯定会发疯的。
下一步就要知道这类日志产生的频率以及变化趋势,要实现就交给Timeline吧。
下面是OSSIM中收集的飞塔(Fortinet)防火墙日志分类:
入库的无线AP的事件
注意:不支持中文日志。
本文出自 “李晨光原创技术博客” 博客,谢绝转载!
原文:http://chenguang.blog.51cto.com/350944/1709578
