Pull to refresh

Comments 4

Мы начали агенты OSSEC использовать, но опечалились их глючностью (далеко не на всех станциях даже запустилось нормально). У вас схожая причина перехода к альтернативе?
В итоге пришли к решению, когда логи на Windows генерирует SYSMON, а OSSEC используем для транспорта в SIEM. Кейс под Splunk уже доступен в нашей коммерческой библиотеке, портирование на ArcSight и QRadar выполним в ближайший месяц-два.
Интересно. Спасибо за инфо!
Я еще как-то пробовал использовать связку: nxlogзапускается на Win машине, забирает event log, выполняет пре-парсинг и отправляет по syslog на SIEM (тогда это был не OSSIM). А на SIEM'е уже просто syslog коннектор читает все что в него прилетает.
С таким пока не сталкивался. На моей практике OSSEC очень хорошо себя показывал.
WMI плагин в том виде как он есть сейчас работает на мой взгляд очень не стабильно увы ((
А пробовал я данный подход т.к. было требование реализовать именно сбор событий без агентов.
Sign up to leave a comment.

Articles