1、安装Snare,随便找了个版本下载下来,安装一路next,除了中间让你输入一次http的管理登录口令,如下图所示:
2、配置之后打开URL:http://192.168.37.23:6161/,输入默认的用户snare和前面设置的口令,如下图所示:
3、出现管理界面,如下图所示:
4、我们配置syslog主要是设置如下参数,看见514,应该知道是什么了,如下图所示:
5、验证,在linux上查看syslog日志,可以看见已经过来了,如下图所示:
6、余下的就和使用word一样操作日志配置,系统的远程管理设置等了,如下图所示:
7、ossim支持如果想用再ossim上,需要修改process=rsyslogdstart=no ; launch plugi荏鱿胫协n process when agent startsstop=no ; shutdown plugin process when agent stopsstartup=/etc/init.d/rsyslog startshutdown=/etc/init.d/rsyslog stopsource=loglocation=/var/log/snare.logcreate_file=true再到alienvault:/etc/ossim# cat /etc/rsyslog.d/snare.confif $msg contains '192.168.1.8' then -/var/log/snare.logif $rawmsg contains 'EventLog' then -/var/log/snare.log~之后重启ossim-agent和rsyslog服务就可以了。