OSSIM插件配置详解

[DEFAULT] 模块

插件基础信息。

• plugin_id：生成事件数据源（插件）标识符，简称PID或插件ID，不可重复，示例 plugin_id=88888
  【说明】设置id编号时，可以查看ossim数据库确认已用的id编号范围，推荐5位数起（区分内置插件已用id编号）。
• dst_ip：产生事件的目标IP地址，示例 dst_ip=\_CFG(plugin-defaults,sensor)
• dst_port：产生事件的目标IP端口，示例 dst_port=22

[config] 模块

插件基础配置。

• type：插件类型，主要有以下两类：
  • 采集类插件：示例 type=detector
  • 监控类插件：示例 type=monitor
• enable：是否启用，true，示例 enable=true
• custom_functions_file：自定义函数功能配置，方便用户在采集过程中使用自定义函数添加一些额外操作如空事件名过滤，sid转换等，示例 custom_functions_file=/etc/ossim/agent/plugins/custom_functions/aruba_clearpass_sid.cfg
• source：采集源类型，这里选择log类型，示例 source=log
  • log：表示可解析的文本文件，如.log、.josn、.xml等；
    【说明】当选择log时，其他对应搭配选项：
    • location：采集文件位置，使用绝对路径，示例 location=/var/log/auth.log
    • create_file：（当指定采集文件不存在时）是否创建文件，根据自身需求选择，示例 create_file=true
  • database：表示采集源为数据库
    【说明】当选择database时，其他对应搭配选项：
    • source_type：数据库类型，示例 source_type=mysql
    • source_ip：数据库服务ip，示例 source_ip=localhost
    • source_port：数据库服务端口，示例 source_port=3306
    • user：数据库连接用户，示例 user=root
    • password：数据库连接密码，示例 password=123456
    • db：数据库初始连接db，示例 db=alienvault
• process：通过指定关键字识别存在运行进程的插件服务，示例 process=rsyslogd
• start：当agent启动时启动插件进程，默认不开启，示例 start=no
• stop：当agent停止时关闭插件进程，默认不开启，示例 stop=no
• restart：在每个指定时间间隔后重新启动插件进程，需要与 restart_interval 搭配使用，示例 restart=no
• restart_interval：每次重新启动之间的时间间隔，单位秒，示例 restart_interval=180
• startup：插件服务进程启动指令，示例 startup=/etc/init.d/ssh start
• shutdown：插件服务进程停止指令，示例 shutdown=/etc/init.d/ssh stop

规则模块

插件规则设置，一个插件下可以包含多个规则，一个规则对应一个事件，不同事件使用 plugin_sid 进行区分。

• event_type：事件类型，默认为event，示例 event_type=event
• regexp：正则表达式，用于匹配需要产生告警事件的采集内容，示例 regexp="(?P<date>\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)"
• plugin_sid：产生事件数据源（插件）的特定事件类型，简称PSID，示例 plugin_sid=1