OSSEC文档——文件监控

于 2018-02-28 11:17:48 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: OSSEC
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/file-log-monitoring.html

文件监控

概述
OSSEC有一个名为 ossec-logcollector的进程,它可以监视日志文件的新事件。当新的日志消息到达时,它将它们转发到其他进程进行分析或传输到一个OSSEC服务器。

配置项

ossec-logcollector的配置在/var/ossec/etc/ossec.conf文件中<ossec_config>元素中.

配置示例

简单示例
配置要监视的日志文件是很简单的。只需提供要监视的文件的名称和格式: 
<localfile>
    <location>/var/log/messages</location>
    <log_format>syslog</log_format>
</localfile>
Windows事件日志示例
要监控一个Windows事件日志,您需要提供格式为“eventlog”,文件名是eventlog。如: 

<localfile>
    <location>Security</location>
    <log_format>eventlog</log_format>
</localfile>
Windows EventChannel示例
要监视Windows Vista或晚些时候的Windows事件日志,您可以使用“eventchannel”日志格式。文件名是eventlog。这是监视应用程序和服务日志的唯一方法。如果文件名包含一个“%4”,那么用“/”替换它。如: 
<localfile>
    <location>Microsoft-Windows-PrintService/Operational</location>
    <log_format>eventchannel</log_format>
</localfile>
多文件示例
为了检查多个文件,OSSEC支持posix正则表达式。例如,要分析在/var/log目录中以.log结尾的每个文件,请使用以下配置: 

<localfile>
    <location>/var/log/*.log</location>
    <log_format>syslog</log_format>
</localfile>
基于日期的示例
对于那些根据日期变化的日志文件,您还可以指定一个strftime格式来代替日期、月份、年等等。例如,要监视日志C:\Windows\app\log-08-12-15.log: 
<localfile>
    <location>C:\Windows\app\log-%y-%m-%d.log</location>
    <log_format>syslog</log_format>
</localfile>
通配符不能与基于日期的格式相结合。

IIS日志示例
对IIS(5和6)的支持可用于NCSA格式(Web only)和W3C扩展格式(用于Web、FTP和SMTP)。默认情况下,安装脚本将尝试配置OSSEC来监视web的第一个虚拟主机(W3SVC1到W3SVC254)、ftp(MSFTPSVC1到MSFTPSVC254)和smtp(SMTPSVC1到smtpsv254)。要监视任何其他文件,您需要手动添加一个新条目。


除此之外,还要确保将日志的时间设置为每天。


并使用本地时间进行文件命名和翻转。


在扩展的日志记录属性中,将其配置为记录日期、时间和所有扩展属性。


下面是一个配置的示例,用于监视IIS web的虚拟服务器2

<localfile>
    <location>%WinDir%\System32\LogFiles\W3SVC3\ex%y%m%d.log</location>
    <log_format>iis</log_format>
</localfile>

vigel1990
关注
专栏目录
OSSEC文件监控和命令监控(附文件监控测试用例)
zhang35的博客
04-14 1510
OSSEC的log文件监控(LIDS,log-based intrusion detection),能检测攻击、误用、系统错误等。 agent端不产生alerts,全部由server集中分析处理。 具体参考官方文档:Log monitoring/analysis 文件监控 ossec-logcollector进程负责监控log文件和事件,有新的日志消息时就转发到server。 配置文件为ossec...
OSSEC功能进阶学习——OSSEC+ELK联动
zhalang8324的博客
08-11 769
decoder和rules学习 参考链接:https://www.freebuf.com/articles/system/6157.html 以及大大的新书:互联网安全建设从0到1 首先第一个坑! 需要修改的decoder.xml是在/var/ossec/etc这个路径下的。。。ossec-logtest是/var/ossec/bin这个路径下的。。。 第二个坑,如下设置后,logtest依旧无法按照decode正常解析内容: <decoder name="logtest"> &l
OSSEC文件监控(SYSCHECK)
weixin_33895516的博客
03-26 496
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC文档——Agents
c1052981766的专栏
02-27 397
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/index.htmlAgents 在OSSEC中有两种类型的代理:可安装代理和无代理代理。安装代理安装在主机上,然后通过OSSEC加密消息协议向中央OSSEC服务器报告。无代理代理不需要在远程主机上安装。它们是由OSSEC管理器发起的,它从远程系统收集信息,并使用任何RPC方法(...
OSSEC - Agent端查看命令
dieman0446的博客
12-28 323
命令:/opt/ossec/bin/agent_control -h注释:/opt/为安装目录 1 [root@redhat rules]# /opt/ossec/bin/agent_control -h 2 3 OSSEC HIDS agent_control: Control remote agents. 4 Available options: 5 ...
ossec2.8.1
02-22
 OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 2.8.1版本
ossec-docs:OSSEC文档
05-03
2. **配置OSSEC**:配置文件(如`ossec.conf`)用于设定监控规则、警报阈值和通知方式。 3. **启动与管理**:启动OSSEC守护进程,监控系统活动,使用命令行工具或Web界面进行管理。 4. **日志分析**:理解OSSEC的...
进程服务端口文件监控
07-23
此外,还有一些第三方工具,如Tripwire和OSSEC,提供更全面的文件完整性检查和入侵检测功能。 综上所述,"进程服务端口文件监控"是一个综合性的系统管理实践,它涵盖了对操作系统内部运作的全面洞察,以确保系统的...
涂宏伟-OSSEC与webshell监控探索.pdf
09-17
通过OSSEC的Syscheck模块,可以实现对文件的实时完整性检查,从而监控文件的任何变动,包括文件大小、文件hash、文件拥有者和文件权限。此外,涂宏伟还提及了Syscheck的实时扫描功能,以及通过agent进行本地化检测的...
Ossec常用命令
dieman0446的博客
07-14 161
启动并查看httpd服务 systemctl start httpd systemctl status httpd.service 启动并查看mysql服务 systemctl start mariadb systemctl status mariadb.service 启动并查看sendmail服务 systemct...
ossec HIDS
05-19
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。
风行:入侵检测系统ossec整合
01-12
2012年12月21-22日,由杭州安恒信息技术有限公司与人人网联合主办2012(首届)互联网安全高峰论坛成功举办,本届高峰论坛的主题为“末日安全 & 人人安恒”。本届论坛主要内容将围绕WEB应用防护的技术体系建设和产品服务创新,尤其针对互联网重要基础行业应用展开讨论,打造安全体系方舟迎接末日安全。
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
ossec_wui web管理
02-22
ossec入侵检测搭建部署,第三方web管理ossec-wui0.9版本
ossec 自定义解码实例--- 防火墙自动响应阻止邮件服务器***
weixin_33898876的博客
10-29 203
ossec 自定义解码实例--- 防火墙自动响应阻止邮件服务器***-------- Neo 2011-10-28 最近公司邮件服务器总遭遇外网***,目的是要获取服务器内用户账号信息(账号和密码),一但枚举成功,他们就会拿获取到的用户信息登陆邮件服务器,并例用这个账号大规模的向外转发垃圾邮件。 以上状况如果不能及时发现,导至的后果还是...
OSSEC监控有新建文件时报警。
weixin_34355715的博客
09-21 142
from:http://www.immutablesecurity.com/index.php/2009/10/26/week-of-ossec-day-2-detecting-new-files/ Even so, getting alerts on new files can be useful. Here’s how you do it: 1. Add to...
OSSEC主要功能及原理+详细配置+日志文件分析
热门推荐
AlexTan_的博客
07-31 3万+
作者:谭丙章 E-mail:feifengwind@163.comOSSEC主要功能及原理OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测
OSSEC HIDS -监视追加文件
yaasshole
11-13 163
1.在server 和 agent 的ossec.conf中,都追加这样一条:&lt;alert_new_files&gt;yes&lt;/alert_new_files&gt; 例如:&lt;directories check_all="yes"&gt;/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/loca&lt;wbr&gt;l...
ossec logstash es大数据安全分析实践
ossec全称为Open Source Security Information Management System,它提供了主机入侵检测、日志监控文件完整性检查等功能。ossec的工作原理是通过实时分析系统日志,识别异常行为和潜在威胁,然后通过邮件、syslog...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值