1. 安装Snare，

   随便找了个版本下载下来，安装一路next，除了中间让你输入一次http的管理登录口令。

 

 

2，配置

之后打开URL：http://192.168.37.23:6161/，输入默认的用户snare和前面设置的口令

 

出现管理界面了，

我们配置syslog主要是设置如下参数，看见514，应该知道是什么了

 3，验证

在linux上查看syslog日志，可以看见已经过来了

1. 

余下的就和使用word一样操作日志配置，系统的远程管理设置等了。

 

 

 

4，ossim支持

如果想用再ossim上，需要修改

process=rsyslogd

start=no ; launch plugin process when agent starts

stop=no ; shutdown plugin process when agent stops

startup=/etc/init.d/rsyslog start

shutdown=/etc/init.d/rsyslog stop

   

source=log

location=/var/log/snare.log

   

create_file=true

   

再到

alienvault:/etc/ossim# cat /etc/rsyslog.d/snare.conf

   

if $msg contains \'192.168.1.8\' then -/var/log/snare.log

if $rawmsg contains \'EventLog\' then -/var/log/snare.log

~

之后重启ossim-agent和rsyslog服务就可以了。