OSSEC文档——测试OSSEC规则/解码器

最新推荐文章于 2023-04-12 10:49:57 发布
最新推荐文章于 2023-04-12 10:49:57 发布
阅读量826 收藏
点赞数
分类专栏: OSSEC
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/testing.html


测试OSSEC规则/解码器
大多数人在解决OSSEC或尝试编写新规则和解码时的第一个问题是如何测试它们。在过去,这需要手动重新启动OSSEC,或者创建一个测试安装。在版本1.6中,有一个工具可以简化这个任务(ossec-logtest)。

使用ossec-logtest测试
工具ossec-logtest安装在/var/ossec/bin中。它将读取当前规则和解码器(来自/var/ossec)并接受stdin的日志输入: 

# /var/ossec/bin/ossec-logtest
2008/07/04 09:57:28 ossec-testrule: INFO: Started (pid: 12683).
ossec-testrule: Type one log per line.

Jul 4 09:42:16 enigma sshd[11990]: Accepted password for dcid from 192.168.2.10 port 35259 ssh2

**Phase 1: Completed pre-decoding.
full event: "Jul 4 09:42:16 enigma sshd[11990]: Accepted password for dcid from 192.168.2.10 port 35259 ssh2"
hostname: "enigma"
program_name: "sshd"
log: "accepted password for dcid from 192.168.2.10 port 35259 ssh2"

**Phase 2: Completed decoding.
decoder: ’sshd’
dstuser: ‘dcid’
srcip: ‘192.168.2.10′

**Phase 3: Completed filtering (rules).
Rule id: ‘10100′
Level: ‘4′
Description: ‘First time user logged in.’
**Alert to be generated.


在上面的示例中,我们提供了一个身份验证成功日志,而ossec-logtest向我们展示了如何解码、提取哪些信息以及哪些规则被触发。在下一个示例中,我们可以看到它如何从Windows中提取用户下线消息: 

# /var/ossec/bin/ossec-logtest
2008/07/04 09:57:28 ossec-testrule: INFO: Started (pid: 12683).
ossec-testrule: Type one log per line.

WinEvtLog: Security: AUDIT_SUCCESS(538): Security: lac: OSSEC-HM: OSSEC-HM: User Logoff: User Name: lac Domain: OSSEC-HM Logon ID: (0×0,0xF784D5) Logon Type: 2

**Phase 1: Completed pre-decoding.
full event: ‘WinEvtLog: Security: AUDIT_SUCCESS(538): Security: lac: OSSEC-HM: OSSEC-HM: User Logoff: User Name: lac Domain: OSSEC-HM Logon ID: (0×0,0xF784D5) Logon Type: 2′
hostname: ‘enigma’
program_name: ‘(null)’
log: ‘WinEvtLog: Security: AUDIT_SUCCESS(538): Security: lac: OSSEC-HM: OSSEC-HM: User Logoff: User Name: lac Domain: OSSEC-HM Logon ID: (0×0,0xF784D5) Logon Type: 2′

**Phase 2: Completed decoding.
decoder: ‘windows’
status: ‘AUDIT_SUCCESS’
id: ‘538′
extra_data: ‘Security’
dstuser: ‘lac’
system_name: ‘OSSEC-HM’

**Phase 3: Completed filtering (rules).
Rule id: ‘18149′
Level: ‘3′
Description: ‘Windows User Logoff.’
**Alert to be generated.

除了上面的信息之外,还可以使用ossec-logtest-f来跟踪日志的规则路径:

# /var/ossec/bin/ossec-logtest -f
2008/07/04 10:05:43 ossec-testrule: INFO: Started (pid: 23007).
ossec-testrule: Type one log per line.

Jul 4 10:05:30 enigma sshd[27588]: Failed password for invalid user test2 from 127.0.0.1 port 19130 ssh2

**Phase 1: Completed pre-decoding.
full event: ‘Jul 4 10:05:30 enigma sshd[27588]: Failed password for invalid user test2 from 127.0.0.1 port 19130 ssh2′
hostname: ‘enigma’
program_name: ’sshd’
log: ‘Failed password for invalid user test2 from 127.0.0.1 port 19130 ssh2′

**Phase 2: Completed decoding.
decoder: ’sshd’
srcip: ‘127.0.0.1′

**Rule debugging:
Trying rule: 1 - Generic template for all syslog rules.
*Rule 1 matched.
*Trying child rules.
Trying rule: 5500 - Grouping of the pam_unix rules.
Trying rule: 5700 - SSHD messages grouped.
*Rule 5700 matched.
*Trying child rules.
Trying rule: 5709 - Useless SSHD message without an user/ip.
Trying rule: 5711 - Useless SSHD message without a user/ip.
Trying rule: 5707 - OpenSSH challenge-response exploit.
Trying rule: 5701 - Possible attack on the ssh server (or version gathering).
Trying rule: 5706 - SSH insecure connection attempt (scan).
Trying rule: 5713 - Corrupted bytes on SSHD.
Trying rule: 5702 - Reverse lookup error (bad ISP or attack).
Trying rule: 5710 - Attempt to login using a non-existent user
*Rule 5710 matched.
*Trying child rules.
Trying rule: 5712 - SSHD brute force trying to get access to the system.

**Phase 3: Completed filtering (rules).
Rule id: ‘5710′
Level: ‘5′
Description: ‘Attempt to login using a non-existent user’
**Alert to be generated.

vigel1990
关注
专栏目录
OSSEC文件监控和命令监控(附文件监控测试用例)
zhang35的博客
04-14 1524
OSSEC的log文件监控(LIDS,log-based intrusion detection),能检测攻击、误用、系统错误等。 agent端不产生alerts,全部由server集中分析处理。 具体参考官方文档:Log monitoring/analysis 文件监控 ossec-logcollector进程负责监控log文件和事件,有新的日志消息时就转发到server。 配置文件为ossec...
ossec的新功能--预编译规则之一:ossec的规则
daosecurity的专栏
03-05 2376
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec的规则定义。1. ossec的规则 ossec的规则是XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 724
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
OSSEC文档——规则解码器
c1052981766的专栏
02-28 707
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/index.html规则解码器 测试OSSEC规则/解码器 使用ossec-logtest测试 CDB从内部规则中查找查询 用例 语法列表 创建自定义解码器规则 添加要监视的文件 创建一个定制的解码器 规则解码器的目录路径加载 用例 细节 规则...
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
OSSEC文档——正则语法
c1052981766的专栏
02-28 566
翻译:http://ossec-docs.readthedocs.io/en/latest/syntax/regex.html正则语法 目前,OSSEC支持正则表达式语法: OS_Regex或正则表达式 OS_Match或sregex OS_Regex或正则表达式 在c语言中,快速而简单的正则表达式库。 这个库的设计很简单,但是支持最常用的正则表达式。它在设计时考虑了入侵检测系统, ...
ossec-docs:OSSEC文档
05-03
**OSSEC文档** OSSEC(Open Source Security Information Management Event Correlation)是一款开源的、实时的文件完整性检查系统,用于提供主机入侵检测和日志聚合功能。这个“ossec-docs”文档集合是关于如何...
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
Centos7搭建部署ossec-server2.8.1
小晓晓晓林的博客
01-06 3161
安装ossec-server端前提环境准备 首先我们安装需要用到的关联库和软件,由于我们最终是需要把日志导入到MySQL中进行分析,以及需要通过web程序对报警结果进行展示,同时需要把本机当做SMTP,所以需要在本机安装MySQL、Apache和sendmail服务。在当前的终端中执行如下命令: yum install wget gcc make mysql mysql-server mys...
ossec_wui web管理
02-22
1. **安装ossec**:首先要在目标系统上安装ossec,遵循官方文档的安装指南,确保所有组件正确配置并运行。 2. **安装ossec-wui**:下载ossec-wui-0.9的压缩包,解压后按照readme文件的指示进行安装,通常包括将文件...
logTest的例子
02-22
logback和log4j基本使用的例子
LogTest.rar
10-08
log4cplus LogTest.rar 代码
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3432
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
OSSEC文档——规则分类(级别)
c1052981766的专栏
02-28 1794
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...
五款入侵检测工具介绍
最新发布
VN520的博客
04-12 1971
入侵检测系统(IDS)检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。入侵检测系统与防火墙不同,主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。而IDS却可以在入侵发生时,评估可疑的入侵并发出警告。而且IDS还可以观察源自系统内部的攻击。从这个意义上来讲,IDS可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统。
wazuh日志审计--定制规则
Devour_的博客
10-21 2884
日志审计--定制规则 目录布局 规则集文件夹结构如下所示: 在接收到agent传来的日志后,manager会根据/var/ossec/ruleset/decoders里面的各种规则对日志进行处理,提取到了指定字段的值之后再根据/var/ossec/ruleset/rules里面的各种规则进行匹配,告警日志输出到/var/ossec/logs/alerts/alerts.json,logstash再将其解析后传输到elasticsearch上面。 更新规则集 每周运行update_ruleset
OSSEC主要功能及原理+详细配置+日志文件分析
热门推荐
AlexTan_的博客
07-31 3万+
作者:谭丙章 E-mail:feifengwind@163.comOSSEC主要功能及原理OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测
OSSEC文档——完整性检查
c1052981766的专栏
02-28 2485
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/syscheck/index.html完整性检查 Syscheck是OSSEC内部完整性检查过程的名称。它定期运行以检查是否有任何配置的文件(或Windows上的注册表条目)发生了变化。 为什么完整性检查? 有多种类型的攻击和许多攻击向量,但是它们都有一种独特之处:它们留下痕迹,并且总是...
Python-Log-test
wangzhezhishi_的博客
10-14 132
Python的博客发布实验-Test print("这是使用Python打印的第一段代码")
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值