一、Open***安裝部署
1、Open*** for Windows
安裝軟件包中的open***-2.0.9-gui-1.0.3-install.exe，拷貝安裝包中的client.o***文件到C:\Program Files\Open×××\config目錄， 啟動Open*** GUI，連接***服務器。Ipconfig/all 查看虛擬網(wǎng)卡是否獲得地址為：10.1.1.×。測試與10.1.1.1的通訊是否正常。
2、Open*** for Linux(Ossim-agent自帶)
把ca.crt，client.crt，client,key還有client.conf放入/etc?/open***目錄下面。
在ossim-agent安裝完成后，通過SSH FTP傳輸安裝包中的client.o***文件到/etc/open***/目錄，啟動open***:
/etc/init.d/open*** restart 連接***服務器。查看ifconfig是否有 tun0網(wǎng)卡，確保啟動成功，并且獲得地址為10.1.1.×。測試與10.1.1.1的通訊是否正常。
二、Ossim-agent安裝部署（linux版本）
光盤啟動系統(tǒng)，進入安裝過程，只安裝agent模塊。指定server地址為：10.1.1.1。
1、系統(tǒng)部署
打開/etc/rsyslog.conf，在RULES后增加過濾條件，并且重啟rsyslog： /etc/init.d/rsyslog restart? 。其他過濾條件可以根據(jù)實際的日志類型增加相應規(guī)則。
###############
#### RULES ####
把$ModLoad imudp
$UDPServerRun 514前面的“#”去掉
$EscapeControlCharactersOnReceive off?? ;是否寫入控制字符
if $rawmsg contains 'IISWebLog' then /var/log/iisweb.log? ;IIS日志過濾
if $rawmsg contains 'id=tos' then /var/log/topsec.log? ;topsec防火墻過濾
把安裝包中的iis.cfg和topsec.cfg拷貝到/etc/ossim/agent/plugins/目錄下，修改/etc/ossim/agent/config.cfg中sensor=10.1.1.×地址為open***獲得的地址。重啟ossim-agent:? /etc/init.d/ossim-agent restart 。
2、功能模塊部署
使用ossim-setup，增加/刪除相應的功能模塊（選中sensor設置，然后選上IIS）。測試相關模塊的運行情況，確保可以收到原始事件，并且解析成功。
修改/etc/ossim/ossim-setup.conf 把framework_ip=20.20.20.1（***服務器的IP地址）。
使用tail –f /var/log/ossim/agent.log查看agent工作情況，類似下列輸出證明解析成功：
2010-08-04 16:51:59,958 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug? 4 16:51:59 top-analyzer IISWebLog???? 0?????? 2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
2010-08-04 16:51:59,959 Output [INFO]: event type="detector" date="1280911919" sensor="192.168.10.121" interface="eth0" plugin_id="1502" plugin_sid="304" src_ip="192.168.10.230" dst_ip="192.168.10.52" dst_port="80" userdata1="GET" userdata2="/ossim/ossim_agent/ParserUtil.py" userdata4="2010-08-04 08:51:44" log="Aug? 4 16:51:59 top-analyzer IISWebLog???? 0?????? 2010-08-04 08:51:44 W3SVC1 192.168.10.52 GET /ossim/ossim_agent/ParserUtil.py - 80 - 192.168.10.230 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+zh-CN;+rv:1.9.2.8)+Gecko/20100722+F
irefox/3.6.8 304 0 0" fdate="2010-08-04 16:51:59" tzone="0"
讓ossim snmptrap實現(xiàn)開機啟動
1.修改訪問權(quán)限
在 /etc/snmp/snmptrapd.conf? 文件末尾加入 authcommunity execute,log,net public ，保存
2.修改snmptrap隨snmp自啟動
編輯/etc/default/snmpd
Export MIBDIRS=/usr/share/snmp/mibs
SNMPDRUN=yes
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1'
TRAPDRUN=yes
TRAPDOPTS='-A -On -Lf? /var/log/snmptrap.log -p /var/run/snmptrapd.pid'
SNMPDCOMPAT=yes
3.把snmpd加入系統(tǒng)自啟動
使用rcconf，首先安裝apt-get install rcconf,之后運行，在里面選中snmpd進行
netstat -nlp |grep snmp看看是否已經(jīng)啟動成功。

udp??????? 0????? 0 127.0.0.1:161?????????? 0.0.0.0:*?????????????????????????? 2502/snmpd?????
udp??????? 0????? 0 0.0.0.0:162???????????? 0.0.0.0:*?????????????????????????? 2505/snmptrapd
配置mrtg進行流量監(jiān)控
Mkdir –p /var/www/mrtg/ftp
Cd /var/www/mrtg/ftp
cfgmaker --global 'WorkDir: /var/www/mrtg/test' --global 'Options[_]:? bits,growright' --global "Language:chinese" --global "Interval:5" --global? "Refresh:300" --global "RunAsDaemon:yes" --output /var/www/mrtg/test/mrtg.cfg? public@IP(要監(jiān)控主機的IP地址)
indexmaker mrtg.cfg > index.cfg
運行mrtg程序，監(jiān)控
env LANG=C /usr/bin/mrtg mrtg.cfg

4.Snare for Windows安裝和配置（Snare和EpiLog）
1.安裝Snare收集Windows event log
打開安裝包中的SnareSetup-3.1.3-MultiArch.exe，安裝完設置：
http://localhost:6161/network，設置Destination Snare Server address為agent以太網(wǎng)地址x.x.x.x，Destination Port為514。
勾選Enable SYSLOG Header
應用配置點擊：Apply the Latest Audit Configuration。
?打開本地安全設置-本地策略-審核策略，設置相應的審核功能。
2.安裝EpiLog收集IIS Web服務器日志
打開安裝包中的EpilogSetup-1.5.4-MultiArch.exe，安裝完設置：http://localhost:6162 Log Configuration
Network Configuration（勾選Enable SYSLOG Header）
log type選擇為microsoft iis web server logs
log file or directory 為IIS日志的存放位置并且加上W3SVC1
log name format為ex*.log
Network Configuration（勾選Enable SYSLOG Header），并且選擇目的地址為agent的ip地址

Objectives Configuration，添加一個include和一個exclude
點擊：Apply the Latest Audit Configuration，并且Reload Settings。

?? 5.在linux下安裝epilog來轉(zhuǎn)發(fā)agent.log日志

a)???????? 在http://192.168.10.26 上下載epilog-1.3.tar.gz ；

b)???????? 上傳到要安裝的agent服務器上面；

c)???????? Tar –zxvf epilog-1.3.tar.gz

d)???????? Cd epilog-1.3

e)???????? ./install.sh

f)????????? /etc/init.d/epilogd restart

g)???????? 查看端口6162是否起來

h)???????? 用IE打開 http://agent***IP:6162

i)?????????? 開始配置 配置方法和在windows下面的配置方法一樣

? 設置結(jié)果參照上一節(jié)（Ossim-agent安裝部署（linux版本））。

?

轉(zhuǎn)載于:https://blog.51cto.com/lymrg/370975

總結(jié)

以上是生活随笔為你收集整理的ossim-agent代理和要监控的服务器的配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。