UALinux готов в кратчайшие сроки предоставить органам государственной власти, ведомствам, госпредприятиям и органам местной власти готовое решение - операционные системы Ubuntu*Pack, которые обеспечат защиту данных от кибератак, аналогичных той, с которой Украина столкнулась 27 июня 2017 года.

Доступен релиз Proxmox VE (Virtual Environment) 5.0, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer.

Уже давно не секрет что пользователи мобильных телефонов «лакомый кусочёк» для киберпреступников. Раньше телефон использовался  только для осуществления звонков и отправки СМС. Сейчас с его помощью люди могут управлять счетом в банке или электронным кошельком. Поэтому получив доступ к чужому телефону равно тоже самое что получить доступ к счетам пользователя. Также у  злоумышленников могут быть мотивы к доступу к личным данным самого пользователя, либо  к самому телефону как к элементу какой-нибудь системы вроде ботнета.

С такими целями преступники создают новые программы и эксплоиты, функция которых это взлом защиты телефона. По мнению специалистов из IT компаний появление новых зловредов  для Android имеет частоту 5 программ в минуту. С такой интенсивностью количество malware программ может достичь до 3,5 миллионов.

По мнению экспертов в отрасли кибербезопасности наибольшей уязвимости подвергаются устройства которые не получают регулярных обновлений. Хотя и постоянные обновления также не гарантирует полную безопасность, но шансы что устройство не взломают возрастают во много раз. Если не обновлять телефон то он останется на той версии ОС, уязвимости которой хорошо известны киберпреступникам. Конечно же, эти уязвимости очень активно используются.

Интенсивность роста количества зловредов для Android просто невероятная. В 2015 году было обнаружено примерно 2,3 миллионов зараженных приложений. Годом позже — 3,2 миллиона.
В этом году , как уже упоминалось ранее, это число может возрасти до 3,5 миллионов или больше.

Эксперты с G Data считают что чаще всего злоумышленники пользуются уязвимостями Android Lollipop и Marshmallow. Именно для этих версий используется треть всего мобильного malware.

Так выглядит процентное соотношение зловредов для разных версий Android (также стоит упомянуть, что некоторые из них имеют свойство вредить не одной, а нескольким ОС):

  • Gingerbread (2.3 – 2.3.7): 0.9%;
  • Ice Cream Sandwich (4.0.3 – 4.0.4): 0.9%;
  • Jelly Bean (4.1.x – 4.3): 10.1%;
  • KitKat (4.4): 20.0%;
  • Lollipop (5.0 – 5.1): 32.0%;
  • Marshmallow (6.0): 31.2%;
  • Nougat (7.0 – 7.1): 4.9%.

Если учесть тот факт, что 90% мобильных телефонов работают на ОС Android, то становится понятным почему злоумышленники выбирают именно эту ОС. Эти данные были подсчитаны в конце прошлого года.

В сравнении с другими ОС Android получил 87,5% рынка мобильных устройств и  продолжает удерживать свои позиции. За 3 квартал прошлого года было продано 328 миллионов устройств на Android.  В то же время компания Apple от грузила примерно 45 миллионов  своих Iphone-нов, уменьшив свой показатель около 5,2% за год. Но сейчас Iphone 7 продаются хорошо, то ситуация показатели для Apple возросли.

Конечно, если бы количество людей использующих Apple IOS было равно количеству Android, то злоумышленники активно ломали эту систему также активно.

Версия на Android выпущена в августе 2016 года  Android 7 считается наиболее защищенной для этих ОС. Но число людей использующих эту версию составляет всего лишь 4,9%, а на шестой версии уже 20% пользователей. Проблема заключается в том, что производители мобильных телефонов слишком быстро прекращают техническую поддержку даже для своих ведущих продуктов. Выходы из сложившейся ситуации таковы: пользоваться тем, что есть; установить другие решения; купить телефон с новой версией ОС.

Эта ситуация имеет большое отличие от, например, устройств на OS Windows. Компания Microsoft в сравнении не так давно прекратила техническую поддержку для Windows XP и Vista, но для корпоративных пользователей некая поддержка еще сохраняется. А для Windows 10 корпорация Microsoft прекратит техподдержку только в октябре 2025 года.

Что могут посоветовать эксперты по кибребезопасности? Купить лицензионный антивирус ESET http://eset-endpoint.kiev.ua/ или Касперский http://antivirus-kaspersky.com.ua/, не скачивать неизвестные подозрительные приложения и вовремя обновлять свою систему. Еще желательно скачивать программы с Google Play и Apple Store, но тут тоже существует вероятность того, что софт который будет скачан может быть зараженным, или программа будет иметь свои скрытые возможности, которым обычный пользователь вряд ли будет рад.

Процессор - это основной компонент компьютера, без него ничего работать не будет. С момента выпуска первого процессора эта технология развивается семимильными темпами. Менялись архитектуры и поколения процессоров AMD и Intel.

В одной из предыдущих статей мы рассматривали архитектуры процессора Intel, в это статье мы рассмотрим поколения процессоров AMD, рассмотрим из чего все начиналось, и как совершенствовалось пока процессоры не стали такими, как они есть сейчас. Иногда очень интересно понять как развивалась технология.

Поколения процессоров AMD

Как вы уже знаете, изначально, компанией, которая выпускала процессоры для компьютера была Intel. Но правительству США не нравилось, что такая важная для оборонной промышленности и экономики страны деталь выпускается только одной компанией. С другой стороны, были и другие желающие выпускать процессоры.

Была основана компания AMD, Intel поделилась с ними всеми своими наработками и разрешила AMD использовать свою архитектуру для выпуска процессоров. Но продлилось это недолго, спустя несколько лет Intel перестала делиться новыми наработками и AMD пришлось улучшать свои процессоры самим. Под понятием архитектура мы будем подразумевать микроархитектуру, расположение транзисторов на печатной плате.

Первые архитектуры процессоров

Сначала кратко рассмотрим первые процессоры, выпускаемые компанией. Самым первым был AM980, он был полным восьмиразрядного процессора Intel 8080.

Следующим процессором был AMD 8086, клон Intel 8086, который выпускался по контракту с IBM, из-за которого Intel была вынуждена лицензировать эту архитектуру конкуренту. Процессор был 16-ти разрядным, имел частоту 10 МГц, а для его изготовления использовался техпроцесс 3000 нм.

Следующим процессором был клон Intel 80286- AMD AM286, по сравнению с устройством от Intel, он имел большую тактовую частоту, до 20 МГц. Техпроцесс уменьшился до 1500 нм.

Дальше был процессор AMD 80386, клон Intel 80386, Intel была против выпуска этой модели, но компании удалось выиграть иск в суде. Здесь тоже была поднята частота до 40 МГц, тогда как у Intel она была только 32 МГц. Техпроцесс - 1000 нм.

AM486 - последний процессор, выпущенный на основе наработок Intel. Частота процессора была поднята до 120 МГц. Дальше, из-за судебных разбирательств AMD больше не смогла использовать технологии Intel и им пришлось разрабатывать свои процессоры.

Пятое поколение - K5

AMD выпустила свой первый процессор в 1995 году. Он имел новую архитектуру, которая основывалась на ранее разработанной архитектуре RISC. Обычные инструкции перекодировались в микроинструкции, что помогло очень сильно поднять производительность. Но тут AMD не смогла обойти Intel. Процессор имел тактовую частоту 100 МГц, тогда как Intel Pentium уже работал на частоте 133 МГц. Для изготовления процессора использовался техпроцесс 350 нм.

Шестое поколение - K6

AMD не стала разрабатывать новую архитектуру, а решила приобрести компанию NextGen и использовать ее наработки Nx686. Хотя эта архитектура очень отличалась, здесь тоже использовалось преобразование инструкций в RISC, и она тоже не обошла Pentium II. Частота процессора была 350 МГц, потребляемая мощность - 28 Ватт, а техпроцесс 250 нм.

Архитектура K6 имела несколько улучшений в будущем, в K6 II было добавлено несколько наборов дополнительных инструкций, улучшивших производительность, а в K6 III добавлен кєш L2.

Седьмое поколение - K7

В 1999 году появилась новая микроархитектура процессоров AMD Athlon. Здесь была значительно увеличена тактовая частота, до 1 ГГц. Кэш второго уровня был вынесен на отдельный чип и имел размер 512 кб, кэш первого уровня - 64 Кб. Для изготовления использовался техпроцесс 250 нм.

Было выпущено еще несколько процессоров на архитектуре Athlon, в Thunderbird кэш второго уровня вернулся на основную интегральную схему, что позволило увеличить производительность, а техпроцесс был уменьшен до 150 нм.

В 2001 году были выпущены процессоры на основе архитектуры процессоров AMD Athlon Palomino c тактовой частотой 1733 МГц, кэшем L2 256 Мб и техпроцессом 180 нм. Потребляемая мощность достигала 72 Ватт.

Улучшение архитектуры продолжалось и в 2002 году компания выпустила на рынок процессоры Athlon Thoroughbred, которые использовали техпроцесс 130 нм и работали на тактовой частоте 2 ГГц. В следующем улучшении Barton была увеличена тактовая частота до 2,33 ГГц и увеличен в два раза размер кэша L2.

В 2003 году AMD выпустила архитектуру K7 Sempron, которая имела тактовую частоту 2 ГГц тоже с техпроцессом 130 нм, но уже дешевле.

Восьмое поколение - K8

Все предыдущие поколения процессоров были 32 битной разрядности и только архитектура K8 начала поддерживать технологию 64 бит. Архитектура притерпела много изменений, теперь процессоры теоретически могли работать с 1 Тб оперативной памяти, контроллер памяти переместили в процессор, что улучшило производительность по сравнению с K7. Также здесь была добавлена новая технология обмена данными HyperTransport.

Первые процессоры на архитектуре K8 были Sledgehammer и Clawhammer, они имели частоту 2,4-2,6 ГГц и тот же техпроцесс 130 нм. Потребляемая мощность - 89 Вт. Дальше, как и с архитектурой K7 компания выполняла медленное улучшение. В 2006 году были выпущены процессоры Winchester, Venice, San Diego, которые имели тактовую частоту до 2,6 ГГц и техпроцесс 90 нм.

В 2006 году вышли процессоры Orleans и Lima, которые имели тактовую частоту 2,8 ГГц, Последний уже имел два ядра и поддерживал память DDR2.

Наряду с линейкой Athlon, AMD выпустила линейку Semron в 2004 году. Эти процессоры имели меньшую частоту и размер кэша, но были дешевле. Поддерживалась частота до 2,3 ГГц и кэш второго уровня до 512 Кб.

В 2006 году продолжилось развитие линейки Athlon. Были выпущены первые двухъядерные процессоры Athlon X2: Manchester и Brisbane. Они имели тактовую частоту до 3,2 ГГц, техпроцесс 65 нм и потребляемую мощность 125 Вт. В том же году была представлена бюджетная линейка Turion, с тактовой частотой 2,4 ГГц.

Десятое поколение - K10

Следующей архитектурой от AMD была K10, она похожа на K8, но получила много усовершенствований, среди которых увеличение кэша, улучшение контроллера памяти, механизма IPC, а самое главное - это четырехъядерная архитектура.

Первой была линейка Phenom, эти процессоры использовались в качестве серверных, но они имели серьезную проблему, которая приводила к зависанию процессора. Позже AMD исправили ее программно, но это снизило производительность. Также были выпущены процессоры в линейках Athlon и Operon. Процессоры работали на частоте 2,6 ГГц, имели 512 кб кэша второго уровня, 2 Мб кэша третьего уровня и были изготовлены по техпроцессу 65 нм.

Следующим улучшением архитектуры была линейка Phenom II, в которой AMD выполнила переход техпроцесс на 45 нм, чем значительно снизила потребляемую мощность и расход тепла. Четырехъядерные процессоры Phenom II имели частоту до 3,7 ГГц, кэш третьего уровня до 6 Мб. Процессор Deneb уже поддерживал память DDR3. Затем были выпущены двухъядерные и трех ядерные процессоры Phenom II X2 и X3, которые не набрали большой популярности и работали на более низких частотах.

В 2009 году были выпущены бюджетные процессоры AMD Athlon II. Они имели тактовую частоту до 3.0 ГГц, но для уменьшения цены был вырезан кэш третьего уровня. В линейке был четырехъядерный процессор Propus и двухъядерный Regor. В том же году была обновлена линейка продуктов Semton. Они тоже не имели кэша L3 и работали на тактовой частоте 2,9 ГГц.

В 2010 были выпущены шести ядерный Thuban и четырехъядерный Zosma, которые могли работать с тактовой частотой 3,7 ГГц. Частота процессора могла меняться в зависимости от нагрузки.

Пятнадцатое поколение - AMD Bulldozer

В октябре 2011 года на замену K10 пришла новая архитектура - Bulldozer. Здесь компания пыталась использовать большое количество ядер и высокую тактовую частоту чтобы опередить Sandy Bridge от Intel. Первый чип Zambezi не смог даже превзойти Phenom II, уже не говоря про Intel.

Через год после выпуска Bulldozer, AMD выпустила улучшенную архитектуру, под кодовым именем Piledriver. Здесь была увеличена тактовая частота и производительность примерно на 15% без увеличения потребляемой мощности. Процессоры имели тактовую частоту до 4,1 ГГц, потребляли до 100 Вт и для их изготовления использовался техпроцесс 32 нм.

Затем была выпущена линейка процессоров FX на этой же архитектуре. Они имели тактовую частоту до 4,7 ГГц (5 ГГц при разгоне), были версии на четыре, шесть и восемь ядер, и потребляли до 125 Вт.

Следующее улучшение Bulldozer - Excavator, вышло в 2015 году. Здесь техпроцесс был уменьшен до 28 нм. Тактовая частота процессора составляет 3,5 ГГц, количество ядер - 4, а потребление энергии - 65 Вт.

Шестнадцатое поколение - Zen

Это новое поколение процессоров AMD. Архитектура Zen была разработана компанией с нуля. Процессоры выйдут в этом году, ожидается что весной. Для их изготовления будет использоваться техпроцесс 14 нм.

Процессоры будут поддерживать память DDR4 и выделять тепла 95 Ватт энергии. Процессоры будут иметь до 8 ядер, 16 потоков, работать с тактовой частотой 3,4 ГГц. Также была улучшена эффективность потребления энергии и была заявлена возможность автоматического разгона, когда процессор подстраивается в под возможности вашего охлаждения.

Источник: losst.ru

После запуска компьютера, как правило, нам приходится запускать некоторые программы. которыми мы пользуемся чаще всего. Также после запуска системы нам может понадобиться выполнить какие-либо специфичные действия, например, создать нужные файлы или установить некоторые параметры. Очень неудобно делать это вручную. Для решения таких задач существует автозагрузка.

В этой статье мы рассмотрим как работает автозагрузка Linux, как добавить программы автозагрузки, куда их будет более правильно добавить, а также какие виды автозагрузки бывают в этой операционной системы.

Как работает автозагрузка?

Чтобы понять как работает автозагрузка, сначала нужно вспомнить, что происходит во время процесса загрузки Linux. Как только ядро завершит свою инициализацию и будет готово к дальнейшей работе, оно передаст управление системе инициализации. Система инициализации - это основной процесс, именно он запускает все другие процессы в системе.

Есть процессы, которые система инициализации, например, systemd, запускает по умолчанию, но также вы можете настроить чтобы она запускала нужные вам процессы. Также многими дочерними процессами выполняются файлы скриптов или имеется та или иная возможность запускать необходимые вам программы. Такая возможность есть и у большинства окружений рабочего стола.

Рассмотрим основные уровни автозагрузки которые вы можете использовать:

  • Автозагрузка на уровне ядра - вы можете указать любую программу, которая будет запускаться после старта ядра вместо системы инициализации;
  • Автозагрузка системы инициализации - запуск основных системных сервисов, дополнительных сервисов, а также ваших скриптов на этапе инициализации системы;
  • Автозагрузка rc.local - устаревший метод загрузки скриптов, выполняется перед запуском графического окружения;
  • Автозагрузка менеджера входа - вы можете выполнять свои скрипты или команды после запуска менеджера входа, но перед запуском окружения;
  • Автозагрузка X сервера - запуск нужных программ или скрпитов сразу после старта X сервера;
  • Автозагрузка окружения - большинство окружений поддерживают автозагрузку программ, там даже можно настроить отложенный запуск и другие параметры;
  • Автозагрузка bash - самый последний вариант - это автозагрузка на уровне отдельной командной оболочки, вы можете выполнять нужные команды автоматически, как только будет запущен терминал.

Дальше мы рассмотрим более подробно как использовать каждый из пунктов для автозагрузки программ, скриптов или выполнения команд в Linux.

Автозагрузка на уровне ядра

Автозагрузка на уровне ядра вряд ли будет вам очень полезной для повседневного применения, но я решил о ней упомянуть, поскольку такая возможность есть. С помощью параметра ядра init вы можете указать какую программу стоит запускать сразу после завершения инициализации ядра. Например, вы можете загрузить оболочку Bash вместо Systemd. Для этого достаточно подправить строку запуска ядра в конфигурационном файле Grub или во время запуска. Добавьте в конец параметр init:

$ sudo vi /boot/grub2/grub.cfg
linux /vmlinuz-4.8.0-22-generic root=/dev/mapper/systems-ubuntu ro quiet init=/bin/bash

Но, обычно, удобнее изменить это значение временно, в меню Grub. Читайте подробнее об этом в статье параметры ядра Linux. Так не выполняется автозагрузка программы linux, но, тем не менее, иногда может быть полезно.

Автозагрузка в системе инициализации

Чаще всего, когда говорится автозагрузка Linux, подразумевается именно автозагрузка сервисов с помощью системы инициализации. В systemd очень продвинутая система управления службами. Здесь поддерживается разрешение зависимостей, параллельный запуск, отсрочка запуска и перезапуск при ошибке. В терминологии Systemd все запускаемые программы представлены файлами юнитов, в каждом юните описаны параметры программы, ее исполняемый файл, а также дополнительные требования к запуску.

Для добавления или удаления служб из автозапуска используется команда systemctl. Чтобы добавить службу в автозапуск выполните:

$ sudo systemctl enable имя_службы

А чтобы отключить ее автозапуск linux:

$ sudo systemctl disable имя_службы

Например, если вы хотите добавить в автозагрузку Apache, то нужно выполнить:

$ sudo systemctl enable apache

Также вы можете проверить добавлена ли уже служба в автозагрузку:

$ sudo systemctl is-enabled httpd

Если вы не знаете точное имя файла сервиса, но знаете его первую букву, то можно использовать автодополнение, как и в любом другом месте терминала с помощью кнопки Tab:

Также вы можете посмотреть все сервисы, которые были добавлены в автозагрузку с помощью команды:

$ systemctl list-unit-files | grep enabled

Автозагрузка скриптов в Linux

Раньше было принято размещать все скрипты, которые запускаются по умолчанию в файле /etc/rc.local. Этот файл все еще существует, но это пережиток системы инициализации SysVinit и теперь он сохраняется только для совместимости. Скрипты же нужно загружать только с помощью Systemd.

Для этого достаточно создать простой юнит-файл и добавить его в автозагрузку, как любой другой сервис. Сначала создадим этот файл:

$ sudo vi /lib/systemd/system/runscript.service

[Unit]
Description=My Script Service
After=multi-user.target

[Service]
Type=idle
ExecStart=/usr/bin/local/script.sh

[Install]
WantedBy=multi-user.target

В секции Unit мы даем краткое описание нашему файлу и говорим с помощью опции After, что нужно запускать этот скрипт в многопользовательском режиме (multi-user). Секция Service самая важная, здесь мы указываем тип сервиса - idle, это значит, что нужно просто запустить и забыть, вести наблюдение нет необходимости, а затем в параметре ExecStart указываем полный путь к нашему скрипту.

Осталось выставить правильные права:

$ sudo chmod 644 /lib/systemd/system/runscript.service

Затем обновить конфигурацию и добавить в автозагрузку Linux новый скрипт:

$ sudo systemctl daemon-reload
$ sudo systemctl enable myscript.service

После следующей перезагрузки этот скрипт будет запущен автоматически. Обратите внимание, что для каждого скрипта, который вы собираетесь запускать должны быть правильно выставлены права, а именно нужно установить флаг выполнения. Для этого используйте команду chmod:

$ sudo chmod u+x /usr/local/bin/script

В параметрах мы передаем утилите адрес файла скрипта. Исполняемость - это обязательный параметр для всех способов.

Автозагрузка X сервера

Часто, в легких окружениях рабочего стола и оконных менеджеров для автозагрузки программ используется автозагрузка на уровне X сервера. Все запускаемые, таким образом, скрипты будут стартовать после запуска X сервера. Чтобы настроить такую автозагрузку Linux вам будет достаточно добавить путь к нужному скрипту в файл ~/.xinitrc или /etc/X11/xinit/xinitrc. Синтаксис добавляемой строки таков:

exec путь_к_скрипту &

Если файла ~/.xinitrc еще не существует, то его нужно создать:

$ cp /etc/X11/xinit/xinitrc ~/.xinitrc

Затем, чтобы добавить в автозагрузку linux скрипт, отредактируйте файл так, как вам нужно. Например, будем запускать Firefox:

$ vi ~/.xinitrc
exec /usr/bin/firefox &

Готово. Осталось сохранить изменения. При следующем запуске X сервера сработает автозапуск Linux и выполняется эта команда. Таким же способом может выполняться автозапуск приложений linux.

Автозагрузка окружения рабочего стола

Такие мощные окружения рабочего стола как Gnome и KDE имеют свои приложения для автозагрузки. Например, в Gnome программа называется "Запускаемые автоматически приложения". Вы можете запустить ее из главного меню системы:

Здесь вы видите все программы, которые уже добавлены в автозагрузку. Вы можете отключить каждую из них просто сняв галочку.

Чтобы добавить новую программу или скрипт в автозагрузку нажмите кнопку "Добавить":

Тут вам нужно заполнить три поля:

  • Имя - произвольное имя для команды, по которому вы сможете ее найти;
  • Команда - полный путь к исполняемому файлу программы;
  • Комментарий - дополнительная информация, указывать необязательно.

Дальше нажмите "Добавить" ваша программа появится в списке. При следующей загрузке системы, будет выполняться автозагрузка программ linux.

Автозагрузка Bash

Самый простой автозапуск скрипта linux - это запуск с помощью bashrc. Ваш скрипт или команда будет выполняться каждый раз, когда запускается новая сессия терминала. Для этого добавьте адрес нужного скрипта в файл ~/.bashrc:

$ vi ~/.bashrc
/usr/bin/local/script
export MYWAR=test

Здесь вы можете запускать на выполнение любые скрипты или команды. Часто такой подход используется для создания псевдонимов команд, объявления новых переменных и собственных функций.

В этой статье мы рассмотрели добавление в автозагрузку linux, а также как работает автозагрузка и ее виды.

Компания Valve — один из разработчиков шлема виртуальной реальности HTC Vive начала официальное бета-тестирования версии SteamVR для платформы Linux. Разработчики приложений для шлемов виртуальной реальности получили возможность создавать SteamVR-контент для систем на базе Linux.

Окружение рабочего стола Gnome используется очень в различных дистрибутивах по умолчанию и очень популярно среди многих пользователей. Уже сразу, после установки система выглядит очень красиво, так что в большинстве случаев сразу после установки окружения вы можете начать с ним работать. Изначально, разработчики Gnome рассчитывали на то, что бы предоставить максимального готовое и красивое окружение с минимумом необходимых настроек.

Но несмотря на это, вы можете захотеть изменить некоторые параметры, настроить их под себя и всячески улучшить ваше окружение. В этой статье мы рассмотрим как выполняется настройка Gnome 3, какие утилиты для этого нужны, а также что можно изменить в этом окружении. Начнем с самых простых задач.

Настройка Gnome 3 после установки

Не будем долго расписывать преимущества этого окружения, для этого и так уже есть много статей, сразу перейдем к делу.

1. Фон рабочего стола

Первое что мы сделаем в новой системе - это изменим фон рабочего стола. Для этого кликните павой кнопкой по любому месту на рабочем столе и выберите "Изменить фон".

Затем выберите "Фон":

Тут вы можете выбрать одну из понравившихся картинок или загрузить свою на вкладке "Изображение":

Дальше вам осталось нажать выбрать и фон будет изменен. Также можно настроить картинку для экрана блокировки в этом же окне.

2. Раскладка клавиатуры

По умолчанию в Gnome для русского языка есть русская и английская раскладки, они переключаются сочетанием клавиш Super+Пробел. Но иногда нужно добавить новую раскладку, например, украинский язык. Откройте утилиту "Параметры", затем выберите "Язык и ввод":

В разделе "Источник ввода" вы можете добавить новый язык с помощью кнопки "+", например, украинский:

После добавления он появится в списке.

Не все привыкли переключать язык по Super+Пробел, я до сих пор пользуюсь Alt+Shift. Сменить клавишу для переключения очень просто. Для этого откройте утилиту "Параметры", затем "Клавиатура":

На вкладке "Ввод" можно изменить клавишу для переключения раскладки. Только не пытайтесь менять Super+Пробел, так оно не сработает. Вам нужен пункт "Клавиша модификатор переключает источник ввода". Нажмите напротив этого пункта, затем нажмите нужное сочетание:

3. Тачпад и мышь

В некоторых дистрибутивах по умолчанию прокрутка двумя пальцами на тачпаде работает наоборот, т е вы крутите вниз, а содержимое подымается в верх. Это не привычно и неудобно. Вы можете изменить такое поведение в утилите "Параметры", "Мышь и сенсорная панель". Найдите и отключите пункт "Естественная прокрутка" для сенсорной панели:

4. Сетевые аккаунты Gnome

Gnome позволяет интегрировать рабочее окружение с различными сетевыми службами. Вы сможете работать прямо с документами, сохраненными на Google диск, получать уведомления от Facebook, получать почту Gmail, Outlock и многое другое. Чтобы связать систему с нужными аккаунтами откройте параметры и в разделе "Сетевые учетные записи" выберите "Добавить аккаунт":

Здесь вам нужно выбрать тип аккаунта, затем авторизироваться и разрешить к нему доступ приложению Gnome:

Точно так вы можете добавить любой другой поддерживаемый аккаунт к системе.

5. Тема Gnome

Не всем нравится тема Gnome по умолчанию, вы можете заменить ее на любую, доступную в интернете. Но только для этого нам понадобиться стороннее приложение Gnome Tweak Tool. Если программа еще не установлена, вы можете ее установить:

$ sudo apt install gnome-tweak-tool

Теперь программу можно запустить из главного меню, она называется дополнительные настройки:

Для настройки темы перейдите на вкладку "Внешний вид". Тут вы можете настроить несколько тем, это тема GTK, которая отвечает за поведение окон, их цвет, грани и так далее, тема иконок, а также тема оболочки, которая отвечает за внешний вид оболочки в целом, панелей, и так далее. Здесь вы можете выбрать одну из доступных тем:

Устанавливать новые темы можно с помощью пакетного менеджера, например, в Ubuntu:

$ sudo apt install numix-gtk-theme

Также вы можете просто скопировать папку с темой, загруженной из интернета в ~/.themes/. Добавленная тема появится в списке. Для ее активации достаточно выбрать тему.

6. Расширения оболочки Gnome

В Gnome есть поддержка расширений, которые могут улучшать оболочку и дополнять ее новыми функциями. Настройка расширений выполняется тоже с помощью Gnome Tweak Tool. Просто перейдите на вкладку "Расширения". Тут вы можете выбрать и активировать некоторые из стандартных расширений:

Вот основные предустановленные расширения Gnome 3:

  • Alternatetab - переключение окон по Alt+Tab в красивом стиле;
  • Appmenu - классическое меню приложений в верхнем правом углу;
  • Places - добавляет индикатор "Места" на панель;
  • User Themes - позволяет использовать пользовательские темы для Shell. Вы, наверное видели, что пункт "Тема Shell" отключен, это расширение включает его;
  • WindowList - добавляет список открытых окон на рабочий стол Gnome 3 внизу экрана.

Вы можете установить множество других расширений из интернета. Все они размещены на сайте extensions.gnome.org. Но для работы с ними сначала нужно установить программу для интеграции браузера со средой, в Ubuntu это можно сделать таким способом:

$ sudo add-apt-repository ppa:ne0sight/chrome-gnome-shell
$ sudo apt-get update
$ sudo apt-get install chrome-gnome-shell

Также нужно установить расширение для браузера GNOME Shell Integration:

После этого вы можете открыть сайт и установить любое расширение, просто переключив нужный включатель:

Все установленные расширения появятся в списке Gnome Tweak Tool. Хотите найти интересные расширения? Смотрите статью лучшие расширения Gnome 3.

7. Шрифты Gnome

В отличие от других окружений, даже по умолчанию шрифты в Gnome выглядят превосходно. Но вы можете захотеть поменять шрифты на другие или изменить их размер. Все это делается с помощью утилиты Gnome Tweak Tool. Откройте утилиту, затем перейдите на вкладку "Шрифты":

Здесь вы можете настроить шрифты Gnome 3 для основных компонентов окружения, настроить сглаживание, хайтинг, а также изменить коэффициент масштабирования шрифта для всей системы, это очень полезная настройка Gnome 3.

8. Значки рабочего стола

Многие пользователи еще со времен Windows привыкли, что рабочий стол Gnome 3 должен содержать значки домашней папки, компьютера и так далее. Их можно очень просто добавить. Для этого в той же утилите перейдите на вкладку "Рабочий стол", включите переключатель "Показывать значки на рабочем столе" и отметьте нужное галочками:

Настройка интерфейса Gnome 3 завершена, как видите, здесь есть не так много параметров, которые так уж необходимо указать.

Источник: losst.ru

Разработчики Ubuntu Kylin, официальной редакции Ubuntu Linux для китайских пользователей, представили новое окружение рабочего стола UKUI (Ubuntu Kylin User Interface), которое планируется использовать по умолчанию в одном из будущих выпусков Ubuntu Kylin

Создатели открытого веб-офиса ONLYOFFICE выпустили приложение для интеграции с облачным хранилищем ownCloud, позволяющим создавать и редактировать текстовые документы, таблицы и презентации с помощью онлайн-редакторов ONLYOFFICE, не покидая привычный интерфейс ownCloud.


OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:

  • Сбор, анализ и корреляция событий — SIEM
  • Хостовая система обнаружения вторжений (HIDS) — OSSEC
  • Сетевая система обнаружения вторжений (NIDS) — Suricata
  • Беспроводная система обнаружения вторжений (WIDS) — Kismet
  • Мониторинг узлов сети- Nagios
  • Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
  • Сканер уязвимостей – OpenVAS
  • Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
  • Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб

Предисловие

В данной статье речь пойдёт в первую очередь об установке, первичной настройке и конфигурации OSSIM, всю информацию о возможностях и функционале можно взять с официального сайта, или посмотреть в этом ролике:

Стоит заметить, у AlienVault есть 2 продукта, бесплатный OSSIM и более продвинутая версия — USM, различия можно посмотреть по этой ссылке.
В качестве бонуса последней главой статьи выложил информацию об интеграции OSSIM с SIEM системой ArcSight.

Оглавление

Установка OSSIM

Настройка OSSIM

Использованные источники

Установка OSSIM

Установка open source SIEM системы осуществляется с помощью готового установочного образа, содержащего в себе операционную систему Debian и все необходимые предустановленные компоненты и модули.
Для установки OSSIM, необходимо открыть ссылку, после чего сразу-же начнётся загрузка последней версии дистрибутива OSSIM.
Установку мы будем проводить на VMware ESXi.

Настройка ESXi

Для начала необходимо сконфигурировать сам ESXi, а именно настроить интерфейс, работающий в «неразборчивом» режиме (Promiscuous mode). Данный режим нам нужен для настройки мониторинга сети. В OSSIM эту роль выполняет Suricata.
Для этого откроем настройки хоста, и делаем всё, как на анимации ниже:

На этом настройка закончена, теперь добавим виртуальную машину. На скриншотах ниже только те пункты настройки, которые мы меняем.



Многие службы в OSSIM умеют работать в многопоточном режиме, поэтому желательно установить несколько ядер.

Оперативной памяти, желательно, поставить больше. Минимальный размер, до которого всё работает более-менее стабильно и без подтормаживаний – 3GB.

1 интерфейс для управления OSSIM, 1 для Network IDS Suricata, один для OpenVAS (не обязательный).

На этом конфигурация виртуальной машины закончена.

Установка

Включим виртуальную машину и подключим к ней, загруженный нами ранее, установочный образ OSSIM.

Теперь установим OSSIM. Установка ничем не отличается от установки Debian, только пунктов в установке гораздо меньше.

Настройка совсем проста, поэтому для краткости некоторые скриншоты в анимации опущены.
После ввода всех настроек начнётся установка.

На этапе «Запуск cdsetup…» установка может зависнуть на некоторое время, так и должно быть.
По окончанию появится консоль:

Заходим по ссылке, указанной в консоли и вводим учётные данные:

На этом установка закончена.

Настройка OSSIM

Для настройки OSSIM были сконфигурированы 3 операционные системы: Windows server 2008 R2, Windows 7 SP1, Ubuntu 14.04 LTS, которые мы, непосредственно и будем подключать к мониторингу. Помимо этого, мы настроим беспроводную IDS систему, основанную на Kismet, используя в качестве «сенсора» хост с предустановленной ОС Debian 6.

Мастер настройки

Вводим учётные данные, указанные в предыдущем пункте настройки:

И перед нами открывается окно мастера настройки:

Конфигурируем интерфейсы:

На следующем пункте OSSIM автоматически просканирует сеть и предложит указать тип найденных узлов, в нашем случае удалено всё, что не относится к тестовому стенду:

На следующем этапе можно автоматически установить хостовую систему обнаружения вторжений (OSSEC). Попробуем установить её для Windows Server. Вводим учётные данные и нажимаем «DEPLOY»:

Производить то же самое для Linux не рекомендую, т.к. в этом случае OSSEC будет работать без агента (Agentless).
На следующем этапе нам предлагают настроить мониторинг логов, этот пункт мы пропускаем и вернёмся к нему позже, в соответствующей главе:

На последнем пункте нам предложат присоедениться к OTX, если есть желание, регистрируемся по ссылке www.alienvault.com/my-account/customer/signup и вводим токен:


Далее видим всплывающее окно следующего содержания:

Нажимаем Explore Alienvault OSSIM и на этом работа менеджера настройки закончена.

Настройка почтовых уведомлений

В OSSIM есть раздел «Alarm», в котором отображены скоррелированные события безопасности, однако по таким событиям получать уведомления не получится. Зато в системе есть раздел «Tickets», в котором по каждому событию или событиям можно открыть задачу.
«Тикеты» могут создаваться вручную специалистом или автоматически при попадании событий из логов «Security Events (SIEM)» в «Alarms», в случае автоматического открытия «тикета», OSSIM может автоматически отправлять уведомления, чего мы сейчас и настроим.
Настройка почтовых уведомлений проходит в 2 этапа, во первых необходимо настроить postfix, во вторых включить отправку уведомлений.
Открываем SSH и подключаемся к OSSIM:

Выбираем пункт Jailbreak System и попадаем в консоль, вводим:

sed -i -e "s@mailserver_relay=no@mailserver_relay=my.corporate.mail.server@" /etc/ossim/ossim_setup.conf
echo relayhost = my.corporate.mail.server:25 >> /etc/postfix/main.cf
service postfix restart

Примечание: вместо my.corporate.mail.server укажите свой почтовый сервер, при необходимости настройки любых других параметров postfix (авторизвция, защищённое соединение и т.п.) – смотрите документацию по postfix.
Теперь открываем настройки и в разделе администрирования включаем автоматическую отправку уведомлений:

После данной манипуляции, любое скоррелированное событие будет автоматически создавать тикет и уведомлять администратора.

Настройка HIDS

В роли хостовой системы предотвращения вторжений в OSSIM выступает не безызвестный OSSEC, настройку которого мы разберём далее.
Для настройки HIDS переходим в Environment -> Detection -> HIDS -> Agents и видим 2 хоста, первый непосредственно сам AlienVault, второй – Windows Server, который мы установили на пункте «Deploy HIDS» в разделе «Мастера настройки». Заходим в меню агентов HIDS:

Добавим Windows 7 и Ubuntu:

Windows

Для установки HIDS можно использовать режим автоматической установки или скачать готовый exe файл .
Установка в автоматическом режиме не отличается от той, что мы уже делали:

При установке в ручном режиме, с помощью exe файла, OSSEC агент установится в «1 клик», без ввода каких-либо дополнительных параметров:

В случае успеха мы увидим:

Ubuntu

Теперь настроим Ubuntu, подключаемся по SSH и установим OSSEC:

sudo -s
apt-get install curl
curl --header 'Host: www.ossec.net' --header 'User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0' --header 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' --header 'Accept-Language: en-US,en;q=0.5' --header 'DNT: 1' --header 'Referer: http://www.ossec.net/?page_id=19' --header 'Connection: keep-alive' 'http://www.ossec.net/files/ossec-hids-2.8.tar.gz' -o 'ossec-hids-2.8.1.tar.gz' –L

Примечание: через wget загрузка не работает, на стороне сервера ossec.net проверяется User-Agent.

tar xzf ossec-hids-2.8.1.tar.gz
cd ossec-hids-2.8/
/bin/bash ./install.sh




Примечание: пункт 3.4, режим активной защиты (IPS вместо IDS) включайте осторожно, в данном случае мы используем только режим детектирования, поэтому оставляет «n» вместо «y».
Теперь получим ключ, для этого возвращаемся обратно в меню агентов HIDS и кликаем на :

Запустим настройку с помощью утилиты /var/ossec/bin/manage_agents, нажимаем I, вводим ключ и выходим(Q):

Перезагрузим OSSEC:

service ossec restart

В случае успеха мы увидим «Active» напротив хоста:

Если какой-либо агент не появился, как активный в списке, можно перезагрузить OSSEC, для этого подключаемся по SSH к OSSIM и производим следующие действия:

На этом установка HIDS закончена, теперь на закладке Environment -> Detection можно увидеть логи OSSEC:

Настройка WIDS

Установку WIDS мы будем осуществлять следующим образом:

  1. Создадим хост с ОС Debian 6
  2. Подключим к нему и настроим Wi-Fi карту
  3. Установим и настроим kismet
  4. Настроим на OSSIM OpenVPN сервер
  5. Сконфигурируем связь между OSSIM и Debian 6
  6. Настроим отправку и запись логов в rsyslog
  7. Включим плагин kismet
  8. Настроим импорт по крону логов в формате XML из kismet-а
  9. Добавим новый сенсор в OSSIM
  10. Проверим работоспособность решения
Настройка виртуальной машины

Для установки беспроводной IDS системы нам потребуется хост с предустановленным Debian 6.
Создаём новую виртуальную машину на ESXi и добавляем туда USB контроллер и USB Wi-Fi карту:

В данном примере используется USB Wi-Fi карта TOTOLink N500UD.

Установка и настройка Debian

Устанавливаем Debian 6. Все настройки на своё усмотрение, установка Debian стандартная, поэтому в этом мануале опущена.
После установки ОС, подключаемся к SSH и установим драйвера сетевой карты:

wget http://totolink.ru/files/soft/N500UD_Linux_V2.6.1.3.zip
apt-get install unzip
unzip N500UD_Linux_V2.6.1.3.zip
apt-get install build-essential 
apt-get install linux-headers-$(uname -r)
make
make install
aptitude install wireless-tools
apt-get install ssh openvpn kismet ntp
reboot


После этого проверяем наличие нового интерфейса в iwconfig:

Настроим отправку логов из Debian в OSSIM:

echo "*.* @10.67.68.1" > /etc/rsyslog.d/wids_alienvault.conf

IP адрес не меняйте, он таким и должен быть. Это IP адрес OpenVPN сервера, который будет впоследствии поднят в OSSIM.
Теперь создадим скрипт /etc/init.d/wids_alienvault.sh следующего содержания:

#!/bin/sh
/usr/bin/kismet_server -l xml -t kismet -f /etc/kismet/kismet.conf 2>&1 | logger -t kismet -p local7.1

Дадим ему права на запуск:

chmod 755 /etc/init.d/wids_alienvault.sh

И впишем его на автозагрузку в /etc/rc.local до exit 0:

Теперь настроим kismet.
В файле /etc/kismet/kismet.conf
Сначала настроим адаптер:

source=rt2500,ra0,ra0-wids

Название чипсета можно посмотреть командой:

lsmod | grep ^usbcore

Настроим время создания XML отчёта:

logexpiry=3600

Настроим имя создаваемых логов, для того, чтобы OSSIM правильно определил, какие файлы нужно импортировать и чистить:

logdefault=10.67.68.10
logtemplate=/var/log/kismet/%n_%D-%i.%l

После перезагрузимся:

reboot
Настройка OpenVPN

Подключаемся к OSSIM по SSH, выбираем пункт «Jailbreak system» и вводим комманду:

alienvault-reconfig --add_vpnnode=WIDS-Sensor

Возвращаемся к Debian и копируем сконфигурированный архив OpenVPN с настройками:

scp Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.:/etc/openvpn/nodes/WIDS-Sensor.tar.gz ~

Применим конфиг:

tar xzf WIDS-Sensor.tar.gz
rm -f WIDS-Sensor.tar.gz
mv * /etc/openvpn/

Проверим OpenVPN:

/etc/init.d/openvpn restart
Ifconfig tun0

Настройка Kismet

Переходим обратно в OSSIM.
Настроим rsyslog:

echo if \$programname contains \'ismet\' then /var/log/kismet.log >> /etc/rsyslog.d/kismet.conf
echo \& \~ >> /etc/rsyslog.d/kismet.conf
service rsyslog restart

Изменим путь к файлу, из которого плагин будет забирать логи:

sed –i –e "s@/var/log/syslog@/var/log/kismet.log@" /etc/ossim/agent/plugins/kismet.cfg

Теперь включим плагин, который будет обрабатывать логи kismet, для этого командой exit выходим в меню OSSIM и включаем плагин:

Если всё сделано верно, мы увидим логи в «Analysis -> Security Events (SIEM)»:

Настройка импорта XML логов

Теперь осталось настроить импорт логов формата XML из Debian.
Это необходимо для того, чтобы OSSIM мог получить не только алерты, а все доступные данные о Wi-Fi клиентах и сетях по близости, которые в последствии будут отражены в Environment -> Detection -> Wireless IDS.
Настроим авторизацию SSH без пароля, для того, чтобы скрипт, получающий XML отчёты и чистящий их с сенсора правильно работал.
В OSSIM выполним:

ssh-keygen	
ssh-copy-id Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.


Теперь создадим файл /etc/cron.hourly/kismet следующего содержания:

#!/bin/bash
/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl

Cкопируем сам скрипт:

cp /usr/share/ossim/www/wireless/kismet_sites.pl /var/ossim/kismet/kismet_sites.pl

И поправим в нём адрес:

echo \$sites{\'10.67.68.10\'}=\'/var/log/kismet\'\; >> /var/ossim/kismet/kismet_sites.pl
Настройка сенсора

Теперь перейдём в веб интерфейс:
Добавим новый сенсор:

Статус сенсора будет с красным крестиком, так и должно быть:

Теперь переходим в Environment -> Detection -> Wireless IDS и добавляем расположение и сенсор:




После выполним команду:

/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl

И в случае успеха получим:

И после этого действия в пункте Environment -> Detection -> Wireless IDS появятся данные:

Настройка сбора системных логов

Настроим сбор логов с VMware ESXi, Windows сервера и Ubuntu.
Для сбора логов нам необходимо произвести следующие действия:

  1. Настроить отправку логов с хостов в OSSIM
  2. Посмотреть, из какого файла плагин OSSIM, обрабатывающий события, считывает логи
  3. Настроить запись логов с хостов в отдельные файлы, через конфигурацию rsyslog
  4. Включить плагин
  5. Проверить работоспособность
VMware

Сначала настроим отправку логов в ESXi, для этого открываем расширенные настройки:

И включаем отправку логов по UDP:

После посмотрим, откуда плагин ESXi будет забирать логи

cat /etc/ossim/agent/plugins/vmware-esxi.cfg | grep location



Настроим rsyslog:

echo if \$fromhost-ip == \'10.1.193.76\' then -/var/log/vmware-esxi.log >> /etc/rsyslog.d/esxi.conf
service rsyslog restart

Теперь включим плагин, подключаемся по SSH к OSSIM:

Открываем Analysis -> Security Events (SIEM) и проверяем:

Windows Server

Для отправки логов с Windows, нам потребуется программа Snare, которая позволяет отправлять системные логи в формате syslog-а.
Скачиваем и запускаем:

Включаем web доступ:

Завершаем установку:

Открываем в браузере адрес: localhost:6161
Вводим логин snare, пароль тот, который указывали во время установки, переходим в «Network configuration» и указываем:


После сохраняем настройки, открываем консоль и перезагружаем snare:

net stop snare
net start snare



Проверяем, откуда плагин получает логи:

cat /etc/ossim/agent/plugins/snare.cfg | grep location



Теперь настроим rsyslog. В настройках rsyslog уже есть предустановленный конфиг snare(zzzzz_snare.conf), который мы сейчас немного исправим, руководствуясь форумом OSSIM, заменив всего 1 параметр:

sed -i -e "s@msg@rawmsg@" /etc/rsyslog.d/zzzzz_snare.conf
service rsyslog restart


Теперь настроим плагин, по аналогии с настройкой VMware, за исключением выбора самого плагина:

После перезапуска проверим в Analysis -> Security Events (SIEM):

Ubuntu

Для настройки Ubuntu мы будем использовать rsyslog. Подключаемся к Ubuntu по SSH и настраиваем отправку логов в OSSIM:

echo *.* @10.1.193.123 > /etc/rsyslog.d/alienvault.conf
service rsyslog restart

Проверяем, откуда плагин берёт логи:

cat /etc/ossim/agent/plugins/syslog.cfg

Меняем путь к файлу логов:

sed –i –e "s@/var/log/syslog@/var/log/ubuntusyslog.log@" /etc/ossim/agent/plugins/syslog.cfg

Теперь настроим rsyslog в OSSIM:

echo if \$fromhost-ip == \'10.1.193.77\' then -/var/log/ubuntusyslog.log >> /etc/rsyslog.d/ubuntu.conf
service rsyslog restart

Включаем плагин, по аналогии с предыдущими пунктами, только в списке плагинов выбираем нужный:

Применяем и проверяем:

Примечание

Если после выбора пункта «Apply changes» вы не увидели окно «AlienVault Reconfig»

Перезагрузите OSSIM (в последней версии 4.15.2 периодически появляется такой баг)
Для решения проблем с парсингом логов в кодировке cp1251 (кириллица) необходимо выполнить следующее:
В файле /usr/share/alienvault/ossim-agent/ParserDatabase.py в строку 288 после:

                        if len(ret) > 0:
                            #We have to think about event order when processing
                            cVal = ret[len(ret) - 1][ref]
                            for e in ret:

Вставить:

                                e=list(e)
                                x=[x.decode('cp1251').encode('utf8') if isinstance(x, basestring) else x for x in e] ## change for encoding cp1251
                                e=x
                                e=tuple(e)

В файле /usr/share/alienvault/ossim-agent/TailFollowBookmark.py в строку 163 после:

    def _open_file(self, fromrotate=False):
        """
        Opens the file and seeks to the specified position based on
        the keyword arguments: offset and whence.  Furthermore, the
        _current_file attribute is set as a side-effect.

        fromrotate: Indicates if the file is opened when a
                    log rotation is detected
        """

Вставить:

        if «alerts.log» in self.filename:
        self.encode='cp1251'
        else:
        self.encode='utf8'

Ссылка на форум, где велось обсуждение проблемы с кодировкой.
За информацию о решении данного бага большое спасибо пользователю dolph2005

Интеграция с ArcSight

Теперь попробуем настроить интеграцию OSSIM с SIEM системой ArcSight.
Подобная связка может сэкономить десятки миллионов на лицензиях ArcSight, если кроме основного офиса у компании есть десятки небольших филиалов, которые необходимо защищать и мониторить.
Цель данного раздела – отправлять в ArcSight уже скоррелированные OSSIM-ом логи, а не коррелировать их на стороне ArcSight, увеличивая нагрузку.
Для этого необходимо установить коннектор (тип коннектора Syslog), добавить следующий FlexAgent:

# FlexAgent Regex Configuration File
do.unparsed.events=true
regex=\\D+ AV-FREE-FEED (\\D+) DST_IP -- SRC_IP: (\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}) , DST_IP: (\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}), Alarm: directive_event: AV-FREE-FEED \\D+ (\\d) (.*)
token.count=5
token[0].name=Event_Name
token[0].type=String
token[1].name=SRC_IP
token[1].type=IPAddress
token[2].name=DST_IP
token[2].type=IPAddress
token[3].name=Dev_Severity
token[3].type=String
token[4].name=Event_Message
token[4].type=String
event.name=Event_Name
event.sourceAddress=SRC_IP
event.destinationAddress=DST_IP
event.deviceSeverity=Dev_Severity
event.message=Event_Message
event.deviceVendor=__getVendor(AlienVault)
event.deviceProduct=__stringConstant(OSSIM)

В папку коннектора и далее в «user\agent\flexagent\syslog». Название файла сделать «ossim.sdkrfilereader.properties»
В файле agent.properties изменить строчку agents[0].customsubagentlist, дописав туда «ossim», пример:
agents[0].customsubagentlist= ossim|ciscopix_syslog|netscreen_syslog|…
И строчку agents[0].usecustomsubagentlist поставить true.
Далее зайти в настройки OSSIM:
И включить отправку alarm в syslog:

После настроить отправку логов в rsyslog OSSIM.
В файле /etc/rsyslog.conf добавить строчку:
*.* ip.вашего.Flex.агента

После этого в коннекторе ArcSight появится уже распарсенные, скоррелированные логи:

Использованные источники