Pull to refresh

Comments 3

msmirnov:
спасибо, очень интересно! интерес к продолжению есть, скоро предстоит писать свой декодер для MS SQL и NOD32
Спасибо вам за отзыв!
Скоро будет отдельная статья посвященная написанию, декодеров и правил для обработки логов.
Добрый день.
Хотел бы сделать несколько замечаний:

1) Prelude — это не IDS (хотя в дни своего зарождения она позиционировалась именно так). Prelude — это SIEM. Т.е. система, которая может разбирать события от различных источников. И кстати говоря она развивается :)

2) Передача данных из OSSEC в Prelude через IDMEF хоть и кажется логичной — однако это далеко не лучший вариант.
При экспорте данных Windows EventLog-а из OSSEC-а через IDMEF, вы ограничиваете себя в возможности забирать различные поля из лога.
Т.е. попасть в Prelude может только то, что явно определено в OSSEC-е. Плюс также возможны проблемы с кодировкой.

Намного более гибким подходом будет связка WindowsEventLog -> OSSEC -> Syslog -> Prelude-LML.
С помощью такой конструкции можно получать например вот такие штуки:

image

Это разобранное событие добавление в группу «test_group» пользователя «Тестовый пользователь», которую произвёл товарищ Pupkin_Vasya.
Only those users with full accounts are able to leave comments. Log in, please.