如何通过rsyslog将日志发送到远程日志服务器？

我对ossim很新颖。我已经安装OSSIM 3.1到虚拟机（VMware的）如何通过rsyslog将日志发送到远程日志服务器？

我有2个问题：

从OSSIM-设置

1）我已启用SYSLOG。现在我在ANALYSIS-> SIEM中收到大量系统日志消息。我如何修改记录速度？我如何管理系统日志配置？我查找了syslog conf文件，但没有。我只能找到rsyslog文件。而且，如果我做

alienvault:~# ps aux | grep sys 
root  3481 0.1 0.0 2492 1416 ?  S 08:51 0:12 /var/ossec/bin/ossec syscheckd 
root  5951 0.0 0.0 35512 1416 ?  Sl 08:58 0:00 /usr/sbin/rsyslogd -c3 -x 
root  18427 0.0 0.0 1716 636 pts/0 S+ 11:29 0:00 grep --color=auto sys

我得到的只有rsyslogd运行

2）我从OSSIM-设置中启用Dionaea，我想送其日志没有任何结果OSSIM。我该怎么做？之后，我是否想做其他事情让ossim将Dioanea的日志与其他日志关联起来？

谢谢

来源

2012-05-16 Gappa

从rsyslog的日志转发可以很容易地设置。你需要编辑/etc/rsyslog.conf文件，并添加以下行：

*.* @@remote-host:514

这将设置您的本地rsyslog现在转发所有系统日志消息到“远程主机”，514是rsyslogd服务器的端口号。您可以在要发送日志的位置的所有客户端上添加上面的行。你可以在The official Rsyslog Project Website

来源

2012-07-11 07:02:20

了解更多关于它的信息检查远程服务器上的rsyslog配置（默认情况下它位于/etc/rsyslog.conf）。它可能使用UDP或TCP。如果是UDP，使用

*.* @hostname:<port>

如果它是TCP，

*.* @@hostname:<port>

您可以通过检查该行获得的端口号 -

$UDPServerRun <port> 
$TCPServerRun <port>

你可以用rsyslog现在设置过滤规则基于您的Dioanea服务器的主机名或IP地址，并将其写入单独的文件（如果多数民众赞成你想要的）。

来源

2013-07-22 02:11:19 A23

有，给你送Dionaea事件日志的能力，最近的补丁：

http://sourceforge.net/p/nepenthes/mailman/message/32024205/

来源

2014-03-17 20:59:46 rsFF

如何通过rsyslog将日志发送到远程日志服务器？

回答

相关问题