VMware下OSSIM 5.2.0的下载、安装和初步使用（图文详解）

mm111222

　　不多说，直接上干货！
　　入门阶段不建议选用最新的版本。
　　采用OSSIM 4.11 到 OSSIM5.0.3 之间任何版本做实验，sensor的状态都会是“V”。
　　建议，入门，采用OSSIM5.0.0
　　下载：
　　链接:https://pan.baidu.com/s/1eSsVXvG 密码:ukyk
　　疑问：那我现在入门若安装OSSIM5.0.0的话，想要使用高级版本了，怎么办？
　　答：很简单，升级就是。
　　OSSIM是什么？
　　OSSIM即开源安全信息管理系统（Open Source Security Information Management），是目前一个非常流行和完整的开源安全架构体系。
　　OSSIM通过将开源产品进行集成，从而提供一个能够实现安全监控功能的、集中式、有组织的基础框架平台。
　　Ossim5.0在4月20号由Alienvault公司对外发布，它从2003年诞生到现在，经历了十多年的不断锤炼，目前已经是一款成熟的开源SIEM产品。
　　OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。
　　OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。而OSSIM项目的核心工作在于 负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。
　　OSSIM5.2.0的下载
　　安装以VMware虚拟机安装为例，大家可以自己选择，当然您有条件可以选择物理计算机而不是虚拟机，毕竟性能要好一点。
　　点击此处，  OSSIM 5.2.0  进行下载。
　　通过官方链接，可以下载最新的OSSIM版本：http://downloads.alienvault.com/c/download?version=current_ossim_iso
　　如果想下载早期的OSSIM版本，请戳这里：http://downloads.us.alienvault.com/c/download
　　若大家，有人用OSSIM4.1、或者OSSIM4.3或者OSSIM4.6，则请移步，见



http://chenguang.blog.51cto.com/350944/1670753/

VMware虚机配置
　　我的VMware Workstation的版本是12.0。
　　为OSSIM环境创建虚机时，将安装光盘镜像文件的路径设置为下载好的镜像文件即可。
　　虚机的内存默认是256M，不过建议尽量分配大点（我给虚机分配了2G内存），以免后续OSSIM运行吃力。
　　然后，就可以创建虚机了。
　　其实，若你的是企业需要的话，则安装OSSIM和普通Linux发行版没有什么区别，即可选择品牌服务器也支持虚拟化服务器，不过配置要注意。硬件选择方面我们部署OSSIM需要独立的一台高性能服务器（内存呢至少8G以上且配备了多处理器，硬盘空间不低于500GB，实验阶段也可适当降低要求），如果读者在台式机或笔记本上做实验，那么建议配上不小于8G内存和一块128GB的固态硬盘式比较好的(对于Ossim4.1而言)。然后在机器上挂一块大容量的USB3.0接口的移动硬盘即可。
　　同时，本博客，只是立足于在VMare虚拟机里的单节点安装，若大家想要去进行分布式的OSSIM安装，则先另寻资料或者继续关注本博主的后续博文。
　　在对OSSIM进行分布式部署时，需要安装多个OSSIM系统只不过角色不同，有的是Server有的是Sensor有的是Agent。安装实现起来也不太难。

OSSIM 5.2.0的安装和配置
　　总的步骤如下：
　　选择语言、配置键盘;
　　探测并挂载光盘;
　　装载debconf预配置文件;
　　从光盘加载按安装程序组件;
　　探测网卡（包括有线和无线网卡）;
　　配置网络，这里只能选配置静态IP地址，设定网关和DNS地址;
　　配置主机名、域名信息，设置root密码;
　　同步时钟设置，选择时区;
　　探测磁盘、磁盘分区（建议使用Debian系统自带的自动分区设置为LVM方式，尽量不要手动分区）;
　　格式化分区（ext3格式），安装基本系统，配置软件包管理器;
　　将当前网卡设置为混杂模式;
　　设定监控网段（支持CIDR格式）;
　　配置Postfix邮件系统（设置SMTP等，以后系统发送报警邮件会用到。）;
　　安装GRUB到硬盘;
　　选择检测插件 （如果实在物理服务器上安装，到这一步就会光驱，下面开始系统自动设置工作）;
　　保存日志、结束安装进程;
　　以上十几个步骤看似和其它Linux的安全没有什么区别，为了正常应用OSSIM系统，有些问题需要单独说明，在服务器先不要急于给磁盘做RAID，而且在分区是使用系统的自动分区，也不要手动分区。

　　对于这里的内存，推荐至少8G或者更大。不然也许可能会起不起来。

　　或者

　　或者

　　在“Install OSSIM”界面，点击“Install AlientVault OSSIM 5.2.0 (64 Bit)”（此为混合安装模式）；

　　这里，若大家英文不太好，也可以选择中文。

　　或者
　　在“Select a language”界面，选择“Chinese (Simplified)”，点击Continue；

　　但是，说真心话，真不建议大家用中文的。直接用英文最好！！！
　　如果大家在使用的过程中，　
　　点击，是

　　在“选择你的区域”界面，选择“中国”，点击继续；

　　或者

　　在“配置键盘”界面，选择“美国英语”，点击继续；

　　或者

　　或者

　　在“配置网络”界面
　　因为，我一般习惯在VMare虚拟机里，若是NAT模式的话，则ip地址是192.168.80.X

　　输入IP地址：192.168.80.188，点击继续；

　　需要输入IP地址，就是您分配给OSSIM的管理地址，也是将来用浏览器访问的地址。规划好，尽量以后别随便修改，否则配置麻烦。
　　或者

　　输入网络掩码：255.255.255.0，点击继续；

　　或者

　　输入网关：192.168.80.2，点击继续；

　　这里，是必须输入网关地址，否则OSSIM升级的时候出问题。
　　或者

　　输入域名服务器地址可以选择自己的网关，如我的192.168.80.2。也可以：114.114.114.114，点击继续；

　　这里，是必须设置OSSIM的DNS，否则升级也是有问题的。
　　或者

　　在“设置用户和密码”界面，输入Root用户的密码，点击继续；

　　或者

　　对于这里，大家会有一个疑问，也许你在网上看到关于OOSIM其他版本的安装，比如http://chenguang.blog.51cto.com/350944/1670753/里的OSSIM 4.1的安装，说要进行分区。其实现在的版本，已经是默认自动分区安装好了。同时，也建议大家直接默认分区就好。
　　如果你是一位高级用户者，强烈要自定义分区安装，则见
　　http://chenguang.blog.51cto.com/350944/1723159/里的附件下载。

　　然后，就可以去喝杯咖啡，坐等安装结束。

OSSIM通过Web界面进行配置
　　安装完成之后，就可以通过Web界面进行访问了：https://192.168.80.188
　　建议大家用谷歌浏览器或者火狐浏览器。
　　第一次访问，需要在“Administrator Account Creation”界面输入FULL NAME、PASSWORD、EMAIL等项，点击“START USING ALIENVAULT”；
　　参考
　　http://chenguang.blog.51cto.com/350944/16367419（推荐）