OSSIM

OSSIM即开源安全信息管理系统是目前最成熟的开源SIEM解决方案之一，通过集成多款广受认可的开源安全工具，如Snort、Nmap、OpenVAS、Suricata等，构建起一个统一、高效的安全运营平台。它不仅能够集中管理日志、实时监测安全威胁，还能通过事件关联分析技术识别复杂攻击链条，帮助企业快速发现并响应潜在安全事件。OSSIM的最大亮点在于其“框架式”的架构设计——它不是创造一个新的功能体系，而是将已有的强大工具以有序方式整合起来，让它们各司其职、相互协作，从而提升整体安全防护能力。配合直观的数据可视化界面和合规报告输出功能，OSSIM适用于从中小企业到大型机构的各种场景，特别适合资源有限却希望建立专业安全体系的组织。

OSSIM安装教程

1、首先，在VMware中新建一台虚拟机，并将光驱选项指向已下载的OSSIM.iso镜像文件，完成系统引导准备。

2、启动后，选择默认的第一个安装选项，代表“自动安装OSSIM”，操作更简单、更高效。

3、接下来系统会提示你输入IP地址，这将作为你日后通过浏览器访问OSSIM控台的地址。建议提前规划好此地址，避免安装后频繁修改，影响服务稳定。

4、配置网络时，输入适合当前环境的子网掩码（如255.255.255.0），确保网络层正常通信。

5、若OSSIM无法正确访问网关，可能导致后续系统升级或在线功能异常，因此务必填写正确的默认网关。

6、同样地，如果缺失或错误的DNS配置，也可能导致更新失败。推荐使用通用公共DNS，如114.114.114.114或8.8.8.8。

7、系统会提示进行磁盘分区，选择第一个自动分区选项即可，简洁快捷，适合大多数场景。

8、选择安装使用的磁盘或分区，并进入下一步操作。

9、上边的安装过程需要二三十分钟，安装过程可能会出现黑屏，敲击任意键唤醒屏幕即可。

安装的最后会运行cdsetup的程序，这个程序主要是创建OSSIM相关的数据库。

10、系统安装完成后，自动重启进入界面如下，使用安装时自己设定的密码登录即可

（如果虚拟机没有安装过程而是直接运行了iso那默认是root/toor）

11、登录后进入AlienVault Setup界面如下，这其实是一个名为ossim-setup的程序。

12、基本配置在AlienVault Setup进行操作即可，如果想要进入系统，那就下移到”Jailbreak System“菜单进入

13、选择Yes回车进入

14、如果想回到AlienVault Setup，退出重新登录即可，当然也可以直接输入ossim-setup。

【Web登录使用】

15、在登录界面和AlienVault Setup界面都可以看到有提示ossim的url，直接在浏览器访问该链接即可。

首次登录需要设置admin的密码，按照提示设置满足密码强度的密码即可

16、然后会自动跳转登录界面，使用admin和上边设定的密码进入即可

17、首次登录需要进行几步设置，不过基本都直接NEXT即可。

18、选择网卡，直接NEXT

19、当前扫描到的资产，直接NEXT

20、安装基于主机的入侵检测系统。windows主机需要输入域管理账号Linux机器需要输入主机账号，然后在在右边选中机器，然后点击DEPLOY进行安装。

我们不安装，直接NEXT。

21、日志管理。可直接SKIP THIS STEEP，后期配置。

22、OTX即Open Threat Exchange，威胁情报交换，自己注册个账号去登录即可。

23、进入OSSIM

24、此时进入OSSIM面板

25、dashboards菜单----可视化图表

analysis----用于筛选查看收集到的数据

environment----资产清单、漏洞扫描、流量监控等重要功能就在这里

reports----顾名思义就是生成和查看各种报告的地方

configuration----web系统匹置菜单

OSSIM完整部署与配置教程（适用于VMware环境）

部署OSSIM（Open Source Security Information Management）不仅是构建安全监控体系的起点，也是了解SIEM系统架构实践的绝佳机会。以下内容将帮助你完成从虚拟机安装、Web界面配置到控制台使用的全过程讲解。

一、在VMware中安装OSSIM系统

在创建虚拟机的过程中，跟随以下步骤完成OSSIM的基础安装与网络配置：

1、启动安装程序

进入安装界面后，选择Install AlienVault OSSIM 5.0(64 Bit)（此为自动安装模式，含必要组件）。

2、选择语言与地区

语言：选择Chinese(Simplified)简体中文；

地区：选择中国以便时区及区域设定匹配；

3、键盘布局设置

建议选择美国英语，兼容性更好。

4、网络参数配置

IP地址：如10.111.121.188（需为OSSIM分配静态IP）

子网掩码：255.255.255.0

默认网关：10.111.121.1

DNS服务器：推荐114.114.114.114或8.8.8.8，确保升级可用

5、设置管理员（root）密码

设置后请妥善保管，此密码将用于SSH登录与控制台操作。

安装过程中大部分操作可自动完成，稍作等待即可完成系统部署。

二、Web界面初始化配置指南

安装完成后，可通过浏览器访问OSSIM控制台：

访问地址：http://10.111.121.188（注意不是https）

1、首次登录账户设置

填写管理员姓名、密码、邮箱等基础信息，点击“Start Using AlienVault”完成初始化注册。

2、系统登录界面

使用新创建的账户密码登录OSSIM控制面板。

3、快速配置向导

点击“START”启动配置助手

网络接口确认无误后点击“Next”

资产发现：系统会自动扫描局域网内的设备，可手动筛选关键资产

HIDS部署：为目标服务器安装主机入侵检测Agent，输入凭据后自动部署

日志插件管理：确认设备信息后可启用日志管理插件，也可选择跳过

OTX威胁情报平台接入（可选）：可注册并填写TOKEN接入，也可以跳过

完成以上步骤后，OSSIM即可进入正式使用阶段。

三、Web控制台主要功能模块

部署完成后，OSSIM提供了强大且丰富的Web操作界面：

DASHBOARDS：系统运行状态可视化界面，适合快速查看告警概况与安全态势

ANALYSIS：用于日志审计、事件溯源与威胁聚合分析

ENVIRONMENT：管理资产，结合Nagios执行可用性监测与漏洞扫描

REPORTS：系统报告中心，可导出定期安全报表

CONFIGURATION：系统参数配置、资产预览、插件管理等基础设置入口

四、控制台模式使用说明（SSH连接）

通过SSH连接OSSIM主机后，系统将进入控制台操作模式，界面共含8个核心功能选项：

系统参数设置

1、传感器配置（如启用Snort、Syslog、OSSEC等插件）

2、系统维护与故障排查

3、进入系统Shell（类似Linux CLI，可深入操作）

4、查看安装信息

5、重启系统

6、关闭系统

7、应用所有修改配置

提示：如修改插件或网络配置，请务必选择“Apply all Changes”生效。

五、深入OSSIM文件系统

在Shell模式中，可进入/etc/ossim/目录查看关键配置文件：

ossim_setup.conf：核心配置文件，包含数据库信息、网络设置、DNS等系统参数

默认启用的安全插件包括：sudo、iptables、syslog、snort、rrd等

若需访问内部数据库或日志文件，建议关闭iptables插件并启用FTP被动模式以进行远程操作