Instalei um servidor OSSIM e quero recuperar os alertas gerados por um servidor Nagios remoto para analisá-los e realizar a correlação de eventos de segurança.
Antes de colocar as mãos nele, eu gostaria de saber qual é a abordagem correta.
Obrigado!
ATUALIZAÇÃO:
Ele "quase" funciona, eu posso ver que os alertas NAGIOS são corretamente encaminhados através do rsyslog, mas o OSSIM os vê como logs normais do syslog, então eles não são tratados com o plugin NAGIOS. Como tenho que criar uma regra OSSIM para correlacionar os alertas NAGIOS, absolutamente preciso tratar os alertas NAGIOS com o plugin NAGIOS.
Aqui estão algumas soluções possíveis que eu criei: Desenvolvendo um tipo de plugin para ler logs do syslog, extrair os logs vindos do NAGIOS remoto e enviá-los para o OSSIM. Quão complexo é desenvolver um plugin para o OSSIM? Configurando o OSSIM e substituindo o NAGIOS "embutido" pelo remoto. Isso é possível? Se sim, como? Configurando o OSSIM para que ele possa usar dois NAGIOS, o local e o remoto. Isso é possível? Se sim, como? Empurrando alertas do NAGIOS remoto para o local, através do protocolo NSCA. Isso funcionaria? Criar um sistema NAGIOS distribuído (DNX) e configurar o NAGIOS local como mestre e o remoto como escravo. Isso funcionaria? O que é que vocês acham? Qual destas soluções irá funcionar? Vocês tem alguma ideia melhor?
Obrigado.
Você pode configurar o Nagios para registrar no syslog e, em seguida, configurá-lo (por exemplo, rsyslog) para enviar eventos para o OSSIM (que tem o rsyslog ativado para receber logs remotos).
Você pode querer ter o OSSEC na caixa Nagios, mas isso não é necessário apenas para obter eventos no OSSIM.