Security Onion (Ubuntu 16.04) syslog-ng 到多个来源
Security Onion (Ubuntu 16.04) syslog-ng to multiple sources
我正在设置 Security Onion 以与 Bro 一起玩,但除了 ELK(默认安装在 Security Onion 上)之外,我还想将日志发送到另一个 SIEM。维基 sends you here, which redirects you here。该页面只是说如果我想添加目的地,我将其添加到 /etc/syslog-ng/syslog-ng.conf。所以我做了:
destination d_elsa { program("sh /opt/elsa/contrib/securityonion/contrib/securityonion-elsa-syslog-ng.sh" template(t_db_parsed)); };
destination d_logstash { tcp("127.0.0.1" port(6050) template("$(format-json --scope selected_macros --scope nv_pairs --exclude DATE --key ISODATE)\n")); };
destination remote { udp("192.168.1.55" port(514)); };
前两行是标准的 Security Onion 安装放在那里的,我的附加行是第三行。但这是行不通的。我尝试使用 "remote" 以外的名称。我试过 tcp 和 udp。不仅我的其他 SIEM 没有看到它,我什至尝试了 tcpdump,结果还是空的。我到处搜索,没有看到任何其他选项。想法?
您需要在日志语句中包含新目的地。
syslog-ng 具有三个基本对象:来源(接收消息)、目的地(某处 send/store 消息)和将来源连接到目的地的日志语句
我正在设置 Security Onion 以与 Bro 一起玩,但除了 ELK(默认安装在 Security Onion 上)之外,我还想将日志发送到另一个 SIEM。维基 sends you here, which redirects you here。该页面只是说如果我想添加目的地,我将其添加到 /etc/syslog-ng/syslog-ng.conf。所以我做了:
destination d_elsa { program("sh /opt/elsa/contrib/securityonion/contrib/securityonion-elsa-syslog-ng.sh" template(t_db_parsed)); };
destination d_logstash { tcp("127.0.0.1" port(6050) template("$(format-json --scope selected_macros --scope nv_pairs --exclude DATE --key ISODATE)\n")); };
destination remote { udp("192.168.1.55" port(514)); };
前两行是标准的 Security Onion 安装放在那里的,我的附加行是第三行。但这是行不通的。我尝试使用 "remote" 以外的名称。我试过 tcp 和 udp。不仅我的其他 SIEM 没有看到它,我什至尝试了 tcpdump,结果还是空的。我到处搜索,没有看到任何其他选项。想法?
您需要在日志语句中包含新目的地。
syslog-ng 具有三个基本对象:来源(接收消息)、目的地(某处 send/store 消息)和将来源连接到目的地的日志语句