OSSEC文档——规则和解码器的目录路径加载

最新推荐文章于 2022-03-20 21:11:59 发布
最新推荐文章于 2022-03-20 21:11:59 发布
阅读量629 收藏
点赞数
分类专栏: OSSEC
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html


规则和解码器的目录路径加载


允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。


用例:
可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则和解码器进行打包,使其成为一个简单的非zip/untar和重启操作。这也将大大减少管理ossec升级脚本所需的代码量。


详细:
OSSEC语法


所有的目录加载都是按字母顺序完成的。这很像init。在文件名称中使用数字前缀会影响加载顺序。文件名称的示例和它们将被加载的顺序:
1.00_sshd_rules.xml
2.01_local_sshd_rules.xml
3.99_shun_rules.xml


目录加载


加载指定文件夹下以_rules.xml为结尾的文件 

<ossec_config>
    <rules>
        <rule_dir pattern="_rules.xml">rules</rule_dir>
也可写成 
<ossec_config>
    <rules>
        <rule_dir>rules</rule_dir>
在ossec中指令的申明顺序,重复的文件将不会被加载。在下面的例子中,00_setup_rules.xml总是首先加载,并且不会重复加载。 
<ossec_config>
    <rules>
        <include>rules/00_setup_rules.xml</include>
        <rule_dir>rules</rule_dir>
复杂语法

  • rules/

    • 00_rules_config.xml

    • 50_apache_rules.xml

    • 50_arpwatch_rules.xml

    • plugins/

      • 50_wimax_rules.xml
      • 50_wimax_decoders.xml

  • etc/

    • decoder.xml
    • local_decoder.xml


这是一个将解码器和规则分解成子目录的例子。

<ossec_config>
    <rules>
        <decoder>etc/decoder.xml</decoder>
        <decoder_dir>rules/plugins</decoder_dir>

        <rule>rules/rules/00_rules_config.xml</rule>
        <rule_dir pattern=".xml$">rules/</rule_dir>
        <rule_dir>rules/plugins</rule_dir>
    </rules>
</ossec_config>





vigel1990
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSSEC中文使用手册
weixin_33705053的博客
09-18 1055
OSSEC中文使用手册 请到如下位置下载全文 http://down.51cto.com/data/253143 注:该手册是本人为了阅读方便而翻译的,其中可能有不少错误。有任何疑问可以参考原文。 http://www.ossec.net/doc/ ·Manual oInstallation oSyscheck oRootcheck ...
ossec 常用命令及目录说明
dieman0446的博客
12-02 159
1.  /var/www/html/analogi  -》  ossec 第三方的web界面的安装目录 [root@ossec-server ~]# cd /var/www/html/analogi/ [root@ossec-server analogi]# ls about.php db_ossec.php.new index.php p...
OSSEC文档——创建自定义解码器规则
c1052981766的专栏
02-28 1466
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器规则 OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器规则通常非常简单。 添加要监视的文件...
OSSEC文档——开始使用OSSEC
c1052981766的专栏
02-27 1684
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/non-technical-overview.html开始使用OSSEC OSSEC是一个监视和控制系统的平台。它将HIDS(基于主机的入侵检测)、日志监视和安全事件管理(SIM) /安全信息和事件管理(SIEM)的所有方面整合在一个简单、强大且开源的解决方案中。 优点: 法规遵循需求 O...
OSSEC文档——OSSEC安装
c1052981766的专栏
02-27 535
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/index.htmlOSSEC安装 安装要求 Ubuntu RedHat Debian 管理/代理安装 Windows代理安装(OSSEC只支持Windows系统作为代理,并且需要OSSEC服务器来运行。) 二进制安装 在第二个服务器上编译OSSEC 二进制...
Sysmon_OSSEC:Sysmon事件的OSSEC解码器规则
05-20
Sysmon_OSSEC 包括: Sysmon事件的OSSEC解码器(事件ID 1:流程创建) 哈希规则集上的警报:用于检测(按哈希)psexec使用情况的示例规则映像名称规则集上的警报:用于检测(按映像名称)异常用户行为的示例规则进程...
ossec-docs:OSSEC文档
05-03
2. **配置OSSEC**:配置文件(如`ossec.conf`)用于设定监控规则、警报阈值和通知方式。 3. **启动与管理**:启动OSSEC守护进程,监控系统活动,使用命令行工具或Web界面进行管理。 4. **日志分析**:理解OSSEC的...
ossec-sysmon:使用Sysmon增强Ossec检测功能的规则
05-05
ossec-sysmon使用Sysmon增强Ossec检测功能的规则集请参阅以下文章,以了解此规则集如何帮助您检测Emotet和其他恶意文档恶意软件。 0805-sysmon-modular规则由olafhartong映射到Sysmon配置,并标记为MITER ATT&CK...
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器
05-24
ansible-ossec服务器该角色将在主机上安装ossec服务器。 生成状态:要求该角色将在以下方面工作: 红色的帽子德比安的Ubuntu 亚马逊Linux(2) 因此,您将需要其中一种操作系统.. :-)角色变量该角色具有一些您可以...
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
ossec_wui web管理
02-22
ossec入侵检测搭建部署,第三方web管理ossec-wui0.9版本
Logstash, OSSEC + Logstash + Elasticsearch + Kibana.zip
10-10
Logstash, OSSEC + Logstash + Elasticsearch + Kibana OSSEC使用 LOGSTASH - ELASTICSEARCH - KIBANA 管理 OSSEC警报管理现在是Magento安装脚本的一部分。 https://github.com/magenx/Magento-Automat
风行:入侵检测系统ossec整合
01-12
2012年12月21-22日,由杭州安恒信息技术有限公司与人人网联合主办2012(首届)互联网安全高峰论坛成功举办,本届高峰论坛的主题为“末日安全 & 人人安恒”。本届论坛主要内容将围绕WEB应用防护的技术体系建设和产品服务创新,尤其针对互联网重要基础行业应用展开讨论,打造安全体系方舟迎接末日安全。
OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))
weixin_44304678的博客
03-20 9494
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 环境: 两台centos 7虚拟机 服务端:192.168.1.160 客户端:192.168.1.165 第一步: 前提环境准备(在ossec-server端) 关闭selinux,找到SELINUX这一行,修改为disabled [r
OSSEC文档——规则解码器
c1052981766的专栏
02-28 674
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/index.html规则解码器 测试OSSEC规则/解码器 使用ossec-logtest测试 CDB从内部规则中查找查询 用例 语法列表 创建自定义解码器规则 添加要监视的文件 创建一个定制的解码器 规则解码器目录路径加载 用例 细节 规则...
ossec_常用命令
云里雾里的专栏
12-22 1083
<br /><br />服务端开启: /var/ossec/bin/ossec-control start<br />服务端关闭: /var/ossec/bin/ossec-control stop<br />编辑配置:    vim  /var/ossec/etc/ossec.conf [通过/email来找到email_alert位置,可以修改警告等级等]<br /> <br />配置Agent:<br />1. ./var/ossec/bin/manage_agents 就可执行 选择对应项添加等<b
开源入侵检测系统OSSEC的搭建及使用
东方欲晓的晓东的博客
07-08 4546
环境centos7 官网 http://www.ossec.net/ Linux下载地址 https://github.com/ossec/ossechids/archive/2.9.4.tar.gz wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz tar -xzvf 2.9.4.tar.gz ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值