本文共 1894 字,大约阅读时间需要 6 分钟。
mongodb-org-server-4.0.6-1.el6.x86_64.rpmjre-8u191-linux-x64.rpmelasticsearch-6.5.3.rpmgraylog-server-2.5.1-1.noarch.rpmpwgen-2.08-1.el6.x86_64.rpm
[^注意]: Elasticsearch需要 5或更高版本,MongoDB 需要 3.6或更高版本
yum update -y openssl #MongoDB安装需要openssl>=1.0.1rpm -ivh mongodb-org-server-4.0.6-1.el6.x86_64.rpmservice mongod start
rpm -ivh jre-8u191-linux-x64.rpm #如不使用rpm包,需修改Graylog启动脚本定义的JAVA命令路径rpm -ivh elasticsearch-6.5.3.rpm vim /etc/elasticsearch/elasticsearch.yml 取消cluster.name注释,并更改 cluster.name: graylogservice elasticsearch start
rpm -ivh graylog-server-2.5.1-1.noarch.rpmrpm -ivh pwgen-2.08-1.el6.x86_64.rpmpwgen -N 1 -s 96 #生成password_secret密码echo -n "Enter Password: " && head -1
ossec-hids-3.1.0.tar.gz
yum install -y gcc-c++ maketar -xvf ossec-hids-3.1.0.tar.gz 解压cd ossec-hids-3.1.0/src/os_dbd/yum install - y postgresql-devel./install.sh您希望哪一种安装 (server, agent, local or help)? server #选server 下面的根据提示选择
安装同服务端您希望哪一种安装 (server, agent, local or help)? agent
/var/ossec/bin/manage_agents A 根据提示操作可以获取到Key,将Key保存 /var/ossec/bin/ossec-control start #启动服务端
/var/ossec/bin/manage_agentsI输入服务端的Key/var/ossec/bin/ossec-control start #启动客户端
连接成功后,可以在客户端失败登录几次在以下路径可以查看到日志。/var/ossec/logs/alerts/alerts.log
vim /var/ossec/etc/ossec.conf 修改Ossec配置文件syslog 192.168.198.0/24 #增加可以连接的网段, <要比上一行少一格>/var/ossec/bin/ossec-control enable client-syslog #开启syslog功能 /var/ossec/bin/ossec-control restart #重启 192.168.198.133 #GraylogIP地址12000 #Graylog Input端口cef #输出格式
Graylog
#日志采集选择 System/Inputs在其中找到cef采集方式,端口填写Ossec.conf中填写的端口。
转载于:https://blog.51cto.com/13950323/2370816