用OSSIM轻松分析网络设备日志

基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。

在系统中通过饼图将各类日志直观的展现给用户,便于查阅。

从网络设备日志收集的日志,经过插件归一化处理之后,转换为标准化事件,

上面显示的这十几个大类,仅通过事件名就能猜出来吧。下面,我们以ASA:ICMP Denied事件为例,看看深入发现什么端倪。首先这种ICMP事件发生了11,189次,而且每条事件详情如下图所示。

其实原始日志为:

Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside

如果让你长期看这些单调的原始日志,肯定会发疯的。还是Cisco ASA插件帮忙,才能把日志处理的如此利索。插件到底是个什么东西?下面看个例子(以OSSIM中 Cisco ASA插件为例)

插件位置:
/etc/ossim/agent/plugins/cisco-asa.cfg

该插件适用范围:
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各个版本

插件ID编号:1636

插件类型:detector

原始日志存储位置:/var/log/cisco-asa.log

下面是处理这条日志的正则表达式:

为了深入分析,下一步就要知道这类日志产生的频率以及变化趋势,要实现就交给Timeline吧。

收集cisco交换机日志

下面是OSSIM中收集的飞塔(Fortinet)防火墙日志分类:

入库的无线AP的事件

注意:不支持中文日志。

好了,类似Cisco ASA这样的插件系统里到底有多少呢?我们看看下面的图示。

更多OSSIM有趣的内容请参考畅销书《Unix/Linux网络日志分析与流量监控》。

用OSSIM轻松分析网络设备日志的更多相关文章

  1. 烂泥:利用awstats分析nginx日志

    本文由ilanniweb提供友情赞助,首发于烂泥行天下 想要获得更多的文章,可以关注我的微信ilanniweb 昨天把nginx的日志进行了切割,关于如何切割nginx日志,可以查看<烂泥:切割 ...

  2. Spring AOP在函数接口调用性能分析及其日志处理方面的应用

    面向切面编程可以实现在不修改原来代码的情况下,增加我们所需的业务处理逻辑,比如:添加日志.本文AOP实例是基于Aspect Around注解实现的,我们需要在调用API函数的时候,统计函数调用的具体信 ...

  3. elk实战分析nginx日志文档

    elk实战分析nginx日志文档 架构: kibana <--- es-cluster <--- logstash <--- filebeat 环境准备:192.168.3.1 no ...

  4. PHP性能分析 - ngnx日志分析

    最终结果展示图: 图解:响应时间在40ms以内的请求数占请求总量的7%,40到80ms的的请求数占32.9%,依次类推... 性能问题有很多种可能,普通的情况通过xhprof可查得主要的性能损耗.但有 ...

  5. web后门排查与高效分析web日志技巧

    今年一直大大小小的事情忙,很少有时间能静下心写个文章,所以最近博客更新也越来越少了,公司现在安全团队在我这边,一直在玩命的招人.下个月8号有一个互联网金融的会,4月在qcon北京站,都以嘉宾的身份去分 ...

  6. elk+redis分布式分析nginx日志

    一.elk套件介绍 ELK 由 ElasticSearch . Logstash 和 Kiabana 三个开源工具组成.官方网站: https://www.elastic.co/products El ...

  7. elk平台分析nginx日志的基本搭建

    一.elk套件介绍 ELK 由 ElasticSearch . Logstash 和 Kiabana 三个开源工具组成.官方网站: https://www.elastic.co/products El ...

  8. 一天,python搞个分析NGINX日志的脚本

    准备给ZABBIX用的. 统计接口访问字次,平均响应时间,4XX,5XX次数 以后可以再改进.. #!/usr/bin/env python # coding: utf-8 ############# ...

  9. 用c#读取并分析sql2005日志

    用过logExplorer的朋友都会被他强悍的功能吸引,我写过一篇详细的操作文档可以参考http://blog.csdn.net/jinjazz/archive/2008/05/19/2459692. ...

随机推荐

  1. Docker学习(2)

    列出本地镜像,位于/var/lib/docker下 ➜ ~ sudo docker images REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE ubuntu ...

  2. 数据库备份Sql

    今天学习心得: 数据库备份语句: backup database ZhiHuiGongDi To disk = 'D:\zhihuigongdi20150824.bak'

  3. 转-Spring Framework中的AOP之around通知

    Spring Framework中的AOP之around通知 http://blog.csdn.net/xiaoliang_xie/article/details/7049183 标签: spring ...

  4. case when

    SELECT * FROM  category  WHERE EXISTS (SELECT * FROM goods WHERE goods.cat_id = category.cat_id) cat ...

  5. Yii2.0中form->field如何获取主表的一个字段并且设置为只读

    <?= $form->field($model, 'last_login_time')->textInput(['readonly' => 'true']) ?>

  6. tengine+tomcat配置

    # 根据你服务器的cpu核数来确定此值 worker_processes 4; error_log logs/error.log crit; #error_log logs/error.log not ...

  7. U盘装系统

    http://jingyan.baidu.com/article/fec4bce20e344cf2618d8b37.html

  8. WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED解决方法

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@    WARNING: REMOTE HOST IDENTIFICATION ...

  9. AngularJs之$scope对象(作用域)

      一.作用域 AngularJs中的$scope对象是模板的域模型,也称为作用域实例.通过为其属性赋值,可以传递数据给模板渲染. 每个$scope都是Scope类的实例,Scope类有很多方法,用于 ...

  10. [LeetCode] 8. String to Integer (atoi)

    Implement atoi to convert a string to an integer. public class Solution { public int myAtoi(String s ...