这节课主要讲解OSSIMSIEM要素：   1 元数据：元数据是一种定义性数据，这些数据提供了有关Snort收集的入侵检测的数据信息。   2 传感器：对于分布式的OSSIM系统而言有两个以上的Sersor，这些传感器部署在不同的网段，可以方便的查询到不同传感器所收集的数据。    3 报警组：报警组的作用是形成报警组的集合。允许报警分类显示出来，多用于集中报警。可以把系统中一些试

用于分析和处理Snort收集的入侵数据并以图形化方式展示出来的主要工具就是SIEM控制台，SIEM控制台以一种比Snort输出的原始数据更加容易理解的方式给出报警和入侵数据，如下图所示：        数据按事先排列好的逻辑方式排列，这样有助于安全人员快速决策。数据包以易于理解的方式展示出来，这样可以很清楚的记录了包中承载的信息。除此之外，还能够清晰展示数据包头信息，如下图所示，这相当

为了在SIEM控制台中删除不必要的干扰事件，读者需要掌握3个重要的按钮的功能，这三个按钮在事件列表的左下角。       Delete seleced：删除勾选项事件，想要快速勾选所有事件，可以将Signature前面的复选框选中。 Delete all on screen：该选项可快速删除当前屏幕显示的事件。 Delete entire query:删除全部查询。 OSSIM系

在OSSIM5系统中，点击DashBoards-->Overview，可以看到OSSIM仪表盘默认显示的内容如下，可以看到OSSIM执行状态的图表。     单击铅笔状按钮，，进入编辑模式，用户可以自己添加一些tab，例如Honeypot Activity、Network等功能，如下图所示。        左击network的加号，可以选择显示Tab，设置默认，克隆Tab等功能，如下：