Ossim part2 – send log to ossim with rsyslog

1
973

Halo sobat sekolahlinux, kali ini saya akan sedikit membahas kembali soal ossim, kali ini saya ingin memberikan kalian panduan bagaimana sih cara mengirim log dari server centos 7 saya ke server ossim, yang mana nantinya log tersebut digunakan untuk dianalisa oleh ossim 😀 langsung saja ya. ouu iya untuk versi centos dibawah 7 sebaiknya kalian cek dahulu apakah sudah ada rsyslog atau tidak.

  • centos 7: 192.168.100.10
  • ossim: 192.168.100.100

CENTOS 7 SERVER
pastikan protokol udp pada port 514 baik disisi server centos 7 dan server ossim open ya, karena log akan dikirim melalui udp pada port 514.

buka file ini

/etc/rsyslog.conf

uncomment rule dibawah ini

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

lalu tambahkan rule ini di bari paling bawah

*.* @192.168.100.100:514

jika sudah disave, dan restart rsyslog

service rsyslog restart

OSSIM SERVER

jika sudah sekarang kita beralih ke ossim server, untuk mengecek apakah log masuk atau tidak kita bisa menggunakan tcpdump pada ossim server untuk melihat komunikasi log antar centos 7 dan ossim

buka file ini

/etc/rsyslog.conf

uncomment rule dibawah ini

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

jika sudah save dan restart service rsyslog

untuk melihat apakah log sudah berhasil masuk atau tidak kita bisa capture dengan tcpdump, contohnya seperti dibawah

alienvault:~# tcpdump -i eth0 src 192.168.100.10 and dst port 514
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:20:52.757761 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.notice, length: 158
20:20:52.757858 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 114
20:20:53.662284 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.notice, length: 158
20:20:53.662352 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 114
20:20:54.656262 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 97
20:20:56.031718 IP akbar.lokal.55997 > alienvault.alienvault.syslog: SYSLOG authpriv.info, length: 97

nah berdasarkan tcpdump diatas log dari centos7 server sudah masuk ke ossim server, lalu sekarang kita akan redirect log yang dikirim ke ossim kedalam sebuah file

buat file /etc/rsyslog.d/sekolahlinux.conf dan masukkan rule ini didalamnya

if $fromhost-ip == '192.168.100.10' then /var/log/sekolahlinux.log
&~

untuk variasi kalian bisa melihat cheatset dari ossim pada gambar dibawah ini

ossim-cheatset

lalu selanjutnya kalian buat file sekolahlinux.log untuk menampung log yang masuk

touch /var/log/sekolahlinux.log

jika sudah save dan restart rsyslog

service rsyslog restart

nah untuk melihat apakah log centos7 server nya sudah masuk atau belum ke server ossim kita bisa menggunakan command “tail -f” seperti dibawah

alienvault:~# tail -f /var/log/sekolahlinux.log

May 15 22:15:51 websrv sshd[2062]: Accepted password for root from 192.168.100.1 port 3439 ssh2
May 15 22:15:51 websrv systemd: Started Session 3 of user root.
May 15 22:15:51 websrv systemd-logind: New session 3 of user root.
May 15 22:15:51 websrv systemd: Starting Session 3 of user root.
May 15 22:15:51 websrv sshd[2062]: pam_unix(sshd:session): session opened for user root by (uid=0)
May 15 22:15:53 websrv sshd[2062]: pam_unix(sshd:session): session closed for user root
May 15 22:15:53 websrv systemd-logind: Removed session 3.
May 15 22:15:55 websrv sshd[2082]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=akbaribnu.mshome.net  user=root
May 15 22:15:55 websrv sshd[2082]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 15 22:15:56 websrv sshd[2084]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=akbaribnu.mshome.net  user=root
May 15 22:15:56 websrv sshd[2084]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 15 22:15:57 websrv sshd[2082]: Failed password for root from 192.168.100.1 port 3443 ssh2
May 15 22:15:59 websrv sshd[2084]: Failed password for root from 192.168.100.1 port 3444 ssh2

oke sekian tutorial kali ini, pada part selanjutkan kita akan membahas bagaimana cara membuat plugin untuk ossim 🙂 selaman mencoba dan membaca ya

1 COMMENT

  1. Thanks gan,, sama ada pertanyaan nih,, kan file log nya udah keterima sama si OSSIM,, tapi ko parsing nya masih aneh gitu ya,, device ip nya masih ip OSSIM, bukan IP si server nya,, mungkin ada penjelasan?

LEAVE A REPLY

Please enter your comment!
Please enter your name here