-
安裝Snare,
隨便找了個版本下載下來,安裝一路next,除了中間讓你輸入一次http的管理登錄口令。
2,配置
之后打開URL:http://192.168.37.23:6161/,輸入默認的用戶snare和前面設置的口令
出現管理界面了,
我們配置syslog主要是設置如下參數,看見514,應該知道是什么了
3,驗證
在linux上查看syslog日志,可以看見已經過來了
余下的就和使用word一樣操作日志配置,系統的遠程管理設置等了。
4,ossim支持
如果想用再ossim上,需要修改
process=rsyslogd
start=no ; launch plugin process when agent starts
stop=no ; shutdown plugin process when agent stops
startup=/etc/init.d/rsyslog start
shutdown=/etc/init.d/rsyslog stop
source=log
location=/var/log/snare.log
create_file=true
再到
alienvault:/etc/ossim# cat /etc/rsyslog.d/snare.conf
if $msg contains '192.168.1.8' then -/var/log/snare.log
if $rawmsg contains 'EventLog' then -/var/log/snare.log
~
之后重啟ossim-agent和rsyslog服務就可以了。