OSSEC文档——输出及告警配置

最新推荐文章于 2021-09-10 10:13:03 发布
最新推荐文章于 2021-09-10 10:13:03 发布
阅读量2.2k 收藏
点赞数
分类专栏: OSSEC
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/index.html


输出及告警配置

OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。


通过syslog发送警报
Syslog输出允许OSSEC管理员将OSSEC警报发送到一个或多个Syslog服务器。因为OSSEC只通过syslog发送警报,所以这些选项只用于服务器或本地安装。
OSSEC还支持通过cef、json和发送警报到Splunk。

配置选项
syslog_output
server-syslog服务器IP
port-syslog服务器监听端口
level-告警级别
group-属于本组的警告将被转发。
rule_id-属于本规则的警告将被转发。
location-属于该地址的警告将被转发。
use_fqdn-默认情况下,在生成syslog消息时,ossec会在第一个阶段('.')中删除主机名。将这个选项设置为“yes”将导致它使用服务器上配置的完整主机名。
format- 
<syslog_output>
  <server>10.0.0.1</server>
  <port>514</port>
  <format>cef</format>
</syslog_output>
使Syslog输出
可以配置OSSEC服务器来通过syslog发送警报。在本例中,所有警报都发送到192.168.4.1,级别10以上级别的警报也被发送到10.1.1.1: 
<ossec_config>
  ...

  <syslog_output>
    <server>192.168.4.1</server>
  </syslog_output>

  <syslog_output>
    <level>10</level>
    <server>10.1.1.1</server>
  </syslog_output>

  ...
</ossec_config>
在进行了更改之后,应该启用客户机-syslog流程: 
# /var/ossec/bin/ossec-control enable client-syslog
重新启动OSSEC: 
# /var/ossec/bin/ossec-control restart
osseccsyslog应该与其他的OSSEC进程一起开始: 
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
...
Started ossec-csyslogd...
...
日志显示: 

# tail -n 1000 /var/ossec/logs/ossec.log | grep csyslog
2008/07/25 12:55:16 ossec-csyslogd: INFO: Started (pid: 19412).
2008/07/25 12:55:16 ossec-csyslogd: INFO: Forwarding alerts via syslog to: ‘192.168.4.1:514′.
2008/07/25 12:55:16 ossec-csyslogd: INFO: Forwarding alerts via syslog to: ‘10.1.1.1:514′.
通过电子邮件发送警报
向单个电子邮件地址发出警报

在/var/ossec/etc/ossec.conf中的<global>中添加如下: 

<ossec_config>
    <global>
        <email_notification>yes</email_notification>
        <email_to>me@example.com</email_to>
        <smtp_server>mx.example.com..</smtp_server>
        <email_from>ossec@example.com</email_from>
设置允许发送的最小告警级别 

<ossec_config>
    <alerts>
        <email_alert_level>10</email_alert_level>
重启 
# /var/ossec/bin/ossec-control restart

每日邮件报告
每天的电子邮件报告都是当天的OSSEC警告的摘要。
在/var/ossec/etc/ossec.conf中配置
属性:
reports
group 
categories
rule
level
location
srcip
user
title
email_to
showlogs


存储警报为JSON(该特性首次出现在OSSEC 2.9中。)

将输出发送到数据库
支持告警发送到MySQL和PostgreSQL

配置选项
在ossec.conf中
属性
database_output
hostname
username
password
database
type


启用数据库支持 
# cd ossec-hids-*
# cd src; make setdb; cd ..
# ./install.sh
在配置中启用数据库输出 

# /var/ossec/bin/ossec-control enable database
数据库特定的设置
MySQL
PostgreSQL
vigel1990
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3267
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
ossec变更alert等级及配置邮件预警
dieman0446的博客
04-20 350
一、场景   当攻击者尝试使用字典对某一台主机的sshd服务进行暴力破解的时候,如果我们能第一时间受到攻击预警的邮件的话,对安全人员或者运维人员来说都能做出快速响应。而使用ossec恰巧可以完成这一工作,但是要做些配置修改。 二、条件   设置邮件预警的前提是你的ossec server安装了邮件服务器,用的比较多的是sendmail,安装好sendmail后 通过配置/e...
ossec配置邮箱接收邮件和添加数据库信息
breader_2003的博客
08-05 367
将主机IDS OSSEC日志文件存入MYSQL的方法
cnbird's blog
07-03 1091
OSSEC 作为一个主机IDS 具有ROOTKIT 检查,异常检测,自动响应,文件防篡改等重要功能,而且开源,免费。OSSEC 现在发布了2.7.1RC 版本,功能可以参考WWW.OSSEC.NET 本人最近研究了,一下,下边先主要写一下,把OSSEC 放入MYSQL 文件中的方法。。。以后会更新一些本屌研究的其他的功能。。。。大牛们莫笑 1)首先安装MYSQL 2)进入OSSEC 安装文件
信息安全 | 威胁特征规则介绍与编写:Snort规则
.
09-10 1524
Snort规则 Snort是一个轻量级的网络入侵检测系统。具有实时数据流量分析日志IP网络数据包捕获的能力,能够进行协议分析,对内容进行搜索/匹配。通过编写规则文件,能够检测各种不同的攻击方式,对攻击进行实时告警。 支持平台 Windows,Linux和Mac OS 参考文档 wangan.com/docs/snortnet 规则组成 规则头 规则行为 协议类型 源/目的IP地址 子网掩码 方向操作符 源/目的端口 规则选项 告警信息 异常数据的信息(特征码、signature)
ossec-docs:OSSEC文档
05-03
OSSEC文档 构建/自动化 此回购协议的所有更改都会触发travis-ci以生成html输出并将该html推送到 有关详细信息,请参见.travis.yaml文件以了解其工作原理。
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器
05-24
ansible-ossec服务器该角色将在主机上安装ossec服务器。 生成状态:要求该角色将在以下方面工作: 红色的帽子德比安的Ubuntu 亚马逊Linux(2) 因此,您将需要其中一种操作系统.. :-)角色变量该角色具有一些您可以...
ansible-role-ossec-agent:安装和配置ossec-agent的角色
05-01
ansible-ossec-agent Ansible角色,用于安装和配置OSSEC HIDS代理。 要求 Ansible 2.9.9或更高
ossec-hids-3.6.0 源码
03-28
ossec官方源码,3.6.0最新版本,编译后用于安装linux下的server和agent,方便部署,可本地自行编译成多平台的可执行程序
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
开源HIDS OSSEC部署与扩展使用(安检)
3569
01-24 4557
0x01 概述 from http://vinc.top/2017/12/26/%e3%80%90%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e5%ae%9e%e6%88%98%e3%80%91%e5%bc%80%e6%ba%90hids-ossec%e9%83%a8%e7%bd%b2%e4%b8%8e%e6%89%a9%e5%b1%95%e4%bd%bf%e7
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 680
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
OSSEC主要功能及原理+详细配置+日志文件分析
热门推荐
AlexTan_的博客
07-31 3万+
作者:谭丙章 E-mail:feifengwind@163.comOSSEC主要功能及原理OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测
OSSEC服务端配置客户端批量部署方案
weixin_34309543的博客
03-08 484
hello · 2015/10/16 15:030x00 前言最近也在研究ossec报警规则,还没研究的很透彻,暂时不是这篇文章的内容。ossec中文资料还是比较少,外文文献比较多。之前看到drops的两篇文章分享drops.wooyun.org/tips/2821,drops.wooyun.org/tips/636,看到评论都说批量部署是个坑,比较麻烦。现在说下我的方案,如何批量安装部署客户端。...
Linux环境下安装OSSEC相关小结
云里雾里的专栏
11-27 4773
安装OSSEC小结:linux_server+xp_agent 自己安装过程: 1. 安装ossec server 2. 解压缩tar -zxsf 3. 运行sudo sh install.sh 4. 提示判断有没有c编译器,可终端里输入gcc查看 5. 没有的话:sudo apt-get install build-essential 6. 继续安装,位置,我选了默认:/var/ossec 7. 建立快捷方式:ln -s /var/ossec /home/mean 【如果你的用户没有roo
ossec 修改sendmail.c源码发送邮件
fudali133的博客
08-11 1215
因为公司需求在部署ossec是发现不能收到报警邮件,查看log提示信息也是非常的少,经过查看一些博客,文档发现ossec发送邮件是不想邮箱服务器发送验证信息的,所以我们常用的邮箱基本都会当做垃圾邮件或者直接拒收。 所以查看了wianm’s blog, 他的代码是:/* Return codes (from SMTP server) */ #define VALIDBANNER "220" #de
ossec study-4:如何设置将ossec的警告邮件从root(root@localhost)发给自己的邮箱(如gmail邮箱)
云里雾里的专栏
12-02 6499
:之前在安装的时候,我们采用的是将alert发给本地,当时的邮箱名为:root@localhostStmp:127.0.0.1.有一个向导提到配置/etc/aliases就可以完成将发送到root的邮件转发到其他外部邮件服务器。方法很简单:1. 安装sendmail apt-get install sendmail2. 按照很多说明,此时就可以使用mail命令了,但是我使用时ubuntu还是出现了问题,让我安装新的安装包3. 我也不知看了那一个说明了:apt-get install mailx但是提示我有三
ossec主要功能介绍
AlexTan_的博客
07-26 8542
Ossec 主要功能OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检测 ,windows注册表监控,rootkit检测,实时报警及动态响影。完整性检测Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 在网络中有许多类型的攻击和攻击载体,说起这些攻击,有一种攻击是很特别的,他们留下一个跟踪程序,并总是想尽方
OSSEC HIDS安装部署
最新发布
09-09
OSSEC HIDS(Host Intrusion Detection System)是一种用于监测和防御主机的入侵的软件。它可以通过分析日志、检测文件完整性、检测Rootkit等功能来保护主机的安全。 要安装和部署OSSEC HIDS,你可以按照以下步骤进行操作: 1. 下载OSSEC HIDS软件包并解压缩。 2. 进入解压后的目录,并执行安装脚本。 3. 根据提示完成软件的安装过程。 4. 安装完成后,可以使用以下命令启动和停止OSSEC HIDS: - 启动OSSEC HIDS:/var/ossec/bin/ossec-control start - 停止OSSEC HIDS:/var/ossec/bin/ossec-control stop 5. 要查看或修改OSSEC HIDS的配置,可以编辑配置文件/var/ossec/etc/ossec.conf。 6. 部署完成后,你还可以将其他监控项集成到OSSEC HIDS中,以满足自己的需求。 如果在安装和使用OSSEC HIDS的过程中遇到任何问题,你可以访问https://github.com/ossec/ossec-hids 或者使用他们的公共邮件列表https://groups.google.com/forum/#!forum/ossec-list 寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值