Halo sobat sekolahlinux, kali ini saya akan sedikit membahas kembali soal ossim, kali ini saya ingin memberikan kalian panduan bagaimana sih cara mengirim log dari server centos 7 saya ke server ossim, yang mana nantinya log tersebut digunakan untuk dianalisa oleh ossim ๐ langsung saja ya. ouu iya untuk versi centos dibawah 7 sebaiknya kalian cek dahulu apakah sudah ada rsyslog atau tidak.
- centos 7: 192.168.100.10
- ossim: 192.168.100.100
CENTOS 7 SERVER
pastikan protokol udp pada port 514 baik disisi server centos 7 dan server ossim open ya, karena log akan dikirim melalui udp pada port 514.
buka file ini
/etc/rsyslog.conf
uncomment rule dibawah ini
# provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
lalu tambahkan rule ini di bari paling bawah
*.* @192.168.100.100:514
jika sudah disave, dan restart rsyslog
service rsyslog restart
OSSIM SERVER
jika sudah sekarang kita beralih ke ossim server, untuk mengecek apakah log masuk atau tidak kita bisa menggunakan tcpdump pada ossim server untuk melihat komunikasi log antar centos 7 dan ossim
buka file ini
/etc/rsyslog.conf
uncomment rule dibawah ini
# provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
jika sudah save dan restart service rsyslog
untuk melihat apakah log sudah berhasil masuk atau tidak kita bisa capture dengan tcpdump, contohnya seperti dibawah
alienvault:~# tcpdump -i eth0 src 192.168.100.10 and dst port 514 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 20:20:52.757761 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.notice, length: 158 20:20:52.757858 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 114 20:20:53.662284 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.notice, length: 158 20:20:53.662352 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 114 20:20:54.656262 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 97 20:20:56.031718 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 97
nah berdasarkan tcpdump diatas log dari centos7 server sudah masuk ke ossim server, lalu sekarang kita akan redirect log yang dikirim ke ossim kedalam sebuah file
buat fileย /etc/rsyslog.d/sekolahlinux.conf dan masukkan rule ini didalamnya
if $fromhost-ip == '192.168.100.10' then /var/log/sekolahlinux.log &~
untuk variasi kalian bisa melihat cheatset dari ossim pada gambar dibawah ini
lalu selanjutnya kalian buat file sekolahlinux.log untuk menampung log yang masuk
touch /var/log/sekolahlinux.log
jika sudah save dan restart rsyslog
service rsyslog restart
nah untuk melihat apakah log centos7 server nya sudah masuk atau belum ke server ossim kita bisa menggunakan command “tail -f” seperti dibawah
alienvault:~# tail -f /var/log/sekolahlinux.log May 15 22:15:51 websrv sshd[2062]: Accepted password for root from 192.168.100.1 port 3439 ssh2 May 15 22:15:51 websrv systemd: Started Session 3 of user root. May 15 22:15:51 websrv systemd-logind: New session 3 of user root. May 15 22:15:51 websrv systemd: Starting Session 3 of user root. May 15 22:15:51 websrv sshd[2062]: pam_unix(sshd:session): session opened for user root by (uid=0) May 15 22:15:53 websrv sshd[2062]: pam_unix(sshd:session): session closed for user root May 15 22:15:53 websrv systemd-logind: Removed session 3. May 15 22:15:55 websrv sshd[2082]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=akbaribnu.mshome.net user=root May 15 22:15:55 websrv sshd[2082]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" May 15 22:15:56 websrv sshd[2084]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=akbaribnu.mshome.net user=root May 15 22:15:56 websrv sshd[2084]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" May 15 22:15:57 websrv sshd[2082]: Failed password for root from 192.168.100.1 port 3443 ssh2 May 15 22:15:59 websrv sshd[2084]: Failed password for root from 192.168.100.1 port 3444 ssh2
oke sekian tutorial kali ini, pada part selanjutkan kita akan membahas bagaimana cara membuat plugin untuk ossim ๐ selaman mencoba dan membaca ya
Thanks gan,, sama ada pertanyaan nih,, kan file log nya udah keterima sama si OSSIM,, tapi ko parsing nya masih aneh gitu ya,, device ip nya masih ip OSSIM, bukan IP si server nya,, mungkin ada penjelasan?