OSSEC文档——创建自定义解码器和规则

最新推荐文章于 2018-02-28 15:31:52 发布
最新推荐文章于 2018-02-28 15:31:52 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: OSSEC
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html

创建自定义解码器和规则
OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。

添加要监视的文件
在配置中添加一个日志文件是很简单的。在系统的 ossec.conf添加一个这样的条目: 
<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/log/file</location>
</localfile>
syslog是一种通用格式,由附加到日志文件的一行文本组成。还有其他可用的格式,它们在localfile语法页面上详细说明。


在添加localfile条目之后,必须重新启动OSSEC进程。


创建一个定制的解码器
下面的日志消息将用于本节中的大多数示例: 

2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1
2013-11-01T10:01:05.600494-04:00 arrakis ossec-exampled[9123]: successful authentication for user test-user from 192.168.1.1 via test-protocol1
说明如下 
	        2013-11-01T10:01:04.600374-04:00 - rsyslog时间戳
		arrakis - 主机名
		ossec-exampled - 日志产生着
		[9123] - ossec-exampled实例进程ID
		test connection from 192.168.1.1 via test-protocol1 - 日志消息
使用ossec-logtest测试自定义的解码器及规则


自定义解码器添加到/var/ossec/etc/local_decoder.xml中,

使用ossec-logtest测试结果 
# /var/ossec/bin/ossec-logtest
2013/11/01 10:39:07 ossec-testrule: INFO: Reading local decoder file.
2013/11/01 10:39:07 ossec-testrule: INFO: Started (pid: 32109).
ossec-testrule: Type one log per line.

2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1


**Phase 1: Completed pre-decoding.
       full event: '2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1'
       hostname: 'arrakis'
       program_name: 'ossec-exampled'
       log: 'test connection from 192.168.1.1 via test-protocol1'

**Phase 2: Completed decoding.
       No decoder matched.
这里没有很多输出,因为OSSEC不了解这个日志。为这个日志消息创建一个解码器将为OSSEC提供更多的信息。


第一阶段“pre-decodes”一些信息。主机名是生成日志消息的系统,程序名是创建日志的应用程序的名称,而日志是日志消息的其余部分。


下面是一个非常基本的解码器ossec-exampled 
<decoder name="ossec-exampled">
  <program_name>ossec-exampled</program_name>
</decoder>
这个解码器只是查找由ossec-exampled生成的任何日志消息。使用这样一个非常通用的解码器,可以让OSSEC用户为使用较少的日志消息的服务创建更特定的子解码器。

这是在添加这个解码器之后的ossec-logtest输出: 
# /var/ossec/bin/ossec-logtest
2013/11/01 10:52:09 ossec-testrule: INFO: Reading local decoder file.
2013/11/01 10:52:09 ossec-testrule: INFO: Started (pid: 25151).
ossec-testrule: Type one log per line.

2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1


**Phase 1: Completed pre-decoding.
       full event: '2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1'
       hostname: 'arrakis'
       program_name: 'ossec-exampled'
       log: 'test connection from 192.168.1.1 via test-protocol1'

**Phase 2: Completed decoding.
       decoder: 'ossec-exampled'
阶段2现在正确地标识了这个日志消息,它来自于ossec-exampled。在日志消息中仍然有一些非常重要的信息应该被解码,即源IP和test-protocol1。要解码这些子解码器,将会被添加。它将把ossec-exampled解码器作为父类,并使用prematch来限制它对正确的日志消息的使用。 

<decoder name="ossec-exampled-test-connection">
  <parent>ossec-exampled</parent>
  <prematch offset="after_parent">^test connection </prematch> <!-- offset="after_parent" makes OSSEC ignore anything matched by the parent decoder and before -->
  <regex offset="after_prematch">^from (\S+) via (\S+)$</regex> <!-- offset="after_prematch" makes OSSEC ignore anything matched by the prematch and earlier-->
  <order>srcip, protocol</order>
</decoder>
拆解 
<decoder name="ossec-exampled-test-connection"> - 声明这是一个解码器,并给它起一个名字。
<parent>ossec-exampled</parent> - 这个译码器只有在ossec-exampled匹配的情况下才会被检查。
<prematch offset="after_parent">^test connection </prematch> - 如果一个日志消息不包含预匹配中的数据,那么它就不会使用那个解码器。设置偏移量告诉OSSEC只在父进程(在本例中为9123:在本例中)之后查看数据,以加快匹配速度。
<regex offset="after_prematch">^from (\S+) via (\S+)$</regex> regex行可用于从日志消息中提取数据,以便在规则中使用。在这个实例中,第一个S+匹配IP地址,第二个匹配协议。括号之间的任何内容都可以在规则中使用。
<order>srcip, protocol</order> - 定义regex行中的条目被标记为什么。IP地址将被标记为srcip和proto的协议。



在添加了这个解码器后,ossec-logtest输出: 
# /var/ossec/bin/ossec-logtest
2013/11/01 11:03:25 ossec-testrule: INFO: Reading local decoder file.
2013/11/01 11:03:25 ossec-testrule: INFO: Started (pid: 6290).
ossec-testrule: Type one log per line.

2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1


**Phase 1: Completed pre-decoding.
       full event: '2013-11-01T10:01:04.600374-04:00 arrakis ossec-exampled[9123]: test connection from 192.168.1.1 via test-protocol1'
       hostname: 'arrakis'
       program_name: 'ossec-exampled'
       log: 'test connection from 192.168.1.1 via test-protocol1'

**Phase 2: Completed decoding.
       decoder: 'ossec-exampled'
       srcip: '192.168.1.1'
       proto: 'test-protocol1'

















vigel1990
关注
专栏目录
ossec的新功能--预编译规则之一:ossec的规则
daosecurity的专栏
03-05 2381
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec的规则定义。1. ossec的规则 ossec的规则是XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的
OSSEC功能进阶学习——OSSEC+ELK联动
zhalang8324的博客
08-11 781
decoder和rules学习 参考链接:https://www.freebuf.com/articles/system/6157.html 以及大大的新书:互联网安全建设从0到1 首先第一个坑! 需要修改的decoder.xml是在/var/ossec/etc这个路径下的。。。ossec-logtest是/var/ossec/bin这个路径下的。。。 第二个坑,如下设置后,logtest依旧无法按照decode正常解析内容: <decoder name="logtest"> &l
ossec-sysmon:使用Sysmon增强Ossec检测功能的规则
05-05
ossec-sysmon 使用Sysmon增强Ossec检测功能的规则集 请参阅以下文章,以了解此规则集如何帮助您检测Emotet和其他恶意文档恶意软件。 0805-sysmon-modular规则由olafhartong映射到Sysmon配置,并标记为MITER ATT&CK框架。 您可以在以下链接中找到它。
ossec集成自定义脚本
HRay's blog
11-07 864
在使用ossec之前我们这边零零散散的写了几个安全功能的脚本,放在机器上要一直监控进程是不是存在,使用ossec后,可以通过在客户端的ossec.conf中增加如下内容 full_command /usr/bin/python xxx.py 10 其中frequency可以指定执行间隔时间,这里我设置的是10秒执行一次
OSSEC文档——规则解码器
c1052981766的专栏
02-28 709
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/index.html规则解码器 测试OSSEC规则/解码器 使用ossec-logtest测试 CDB从内部规则中查找查询 用例 语法列表 创建自定义解码器规则 添加要监视的文件 创建一个定制的解码器 规则解码器的目录路径加载 用例 细节 规则...
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 729
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
OSSEC的rules语法
可木的专栏
03-07 2410
Rules的语法 http://www.ossec.net/doc/syntax/head_rules.html rule Defines a rule     level: 0-16     id: 100-99999, 100000-109999 are assigned to user     maxsize: 指定event的最大长度, 1-99999     frequenc
ossec-docs:OSSEC文档
05-03
2. **配置OSSEC**:配置文件(如`ossec.conf`)用于设定监控规则、警报阈值和通知方式。 3. **启动与管理**:启动OSSEC守护进程,监控系统活动,使用命令行工具或Web界面进行管理。 4. **日志分析**:理解OSSEC的...
ansible-ossec-agent:为RedHatDebianUbuntu安装和维护ossec-agent
05-24
dj-wasabi.ossec-agent 该角色将在服务器上安装并配置ossec-agent。 当配置了参数ossec_server_name ,它将使操作延迟以自动验证代理。 生成状态: 要求 该角色将在以下方面工作: 红色的帽子 的Ubuntu 德比安 ...
ansible-role-ossec-agent:安装和配置ossec-agent的角色
05-01
"ansible-role-ossec-agent" 是一个基于Ansible自动化运维工具的角色,专门用于部署和配置OSSEC主机入侵检测系统(HIDS)的代理。标题表明这个角色可以帮助系统管理员快速、一致地在多台服务器上安装并设置OSSEC ...
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
OSSEC-编写自己的DECODE
chengfangang的专栏
07-16 1441
关于OSSEC: OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,rook-kit检测。作为一款HIDS, OSSEC应该被安装在一台实施监控的系统中。 OSSEC 之所以产生报警,就是由于抓到了信息后由DECODE对信息
OSSEC文档——规则解码器的目录路径加载
c1052981766的专栏
02-28 670
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html规则解码器的目录路径加载 允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。 用例: 可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则解码器进行打包,使其成为...
OSSEC文档——规则分类(级别)
c1052981766的专栏
02-28 1796
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...
ossec的新功能--预编译规则之二:预编译规则
daosecurity的专栏
03-06 956
预编译规则根据上面的介绍,我们知道ossec有两种规则,其中解码器负责日志解码、分类,规则实现入侵检测和日志分析。想了解预编译规则能干什么,我们现看看ossec处理日志(以syslog为例)的基本处理流程:ossec-logcollector(源代码在src/logcollector)监控各种日志的变更,ossec支持syslog、mysql、postgresql、snort、
OSSEC的decoder语法
可木的专栏
03-08 998
选项: decoder Attributes: id::name:type:status: decoder.parent decoder.program_name Allowed: Any OS_Match/sregex Syntax decoder.prematch Allowed: Any OS_Match/sregex Syntax decoder.
ossec 自定义解码实例--- 防火墙自动响应阻止邮件服务器***
weixin_33898876的博客
10-29 209
ossec 自定义解码实例--- 防火墙自动响应阻止邮件服务器***-------- Neo 2011-10-28 最近公司邮件服务器总遭遇外网***,目的是要获取服务器内用户账号信息(账号和密码),一但枚举成功,他们就会拿获取到的用户信息登陆邮件服务器,并例用这个账号大规模的向外转发垃圾邮件。 以上状况如果不能及时发现,导至的后果还是...
OSSEC基础学习
可木的专栏
03-07 1691
Understanding OSSEC ●OSSEC two working models    ➔Local (useful when you have only one system to monitor)    ➔Agent/Server (recommended!) ●By default installed at /var/ossec ●Main configuration f
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值