목표: 모든 서버의 로그를 올바른 형식으로 읽을 수 있는 OSSIM으로 전달합니다.
속도:
- 각 네트워크 영역에 하나의 NXlog 수집기/에이전트 노드 배포 - 완료
- 관리 영역에 NXlog 수집기/마스터 노드 배포 - 완료
- 관리 영역에 Alien Vault OSSIM 배포 - 완료
모든 서버가 보안 영역 외부로 로그를 보내는 것을 허용하지 않기 때문에 모든 로그는 관리 영역 로그 수집 시스템으로 전달되는 로컬 NXlog 에이전트로 전달되어야 합니다.
예상 결과: 서버 로그(시스템 로그 및 애플리케이션별 로그)는 NXlog 에이전트 > NXlog 마스터 > OSSIM으로 전달되어야 하며 모든 정보가 단일 서버에서 오는 것으로 구별 가능해야 합니다.
OSSIM과 마찬가지로 모든 NXlog 인스턴스가 실행 중입니다. 데이터가 OSSIM으로 들어오지만 "분석/보안 이벤트"에서 단일 이벤트를 열면 세부 정보가 충분하지 않습니다. 유일하게 유용한 부분은 다음과 같은 항목을 표시할 수 있는 원시 로그 필드입니다.
Feb 7 10:01:01 nxlog-collector run-parts(/etc/cron.hourly)[7695 finished 0anacron
이는 체인 어딘가에서 추가 처리가 수행되어야 함을 의미합니다. Graylog 서버에서 테스트한 결과 더 나은 결과를 얻을 수 있었지만 아쉽게도 Alien Vault OSSIM(오픈 소스 버전)을 사용해야 했습니다.