wazuh
文章平均质量分 57
hids
guoguangwu
这个作者很懒,什么都没留下…
展开
-
wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
wazuh-template.json原创 2022-11-30 13:51:39 · 538 阅读 · 0 评论 -
wazuh与clamav 联动
第一步安装 clamav本次测试使用的是Ubuntu 14.04.6 LTS 系统,直接使用二进制包安装apt-get install clamavapt-get install clamav-daemonapt-get install libclamunrar6注意:wazuh支持收集很多日志,比如syslog,clamav自己会写日志到/var/log/cla...原创 2019-11-21 14:39:09 · 1662 阅读 · 0 评论 -
wazuh 收集 suricata eve.json日志
安装suricata和规则 (源码或者安装包),本博客提供安装包操作方式:切换成超级用户进行操作yum -y install epel-release wget jqcurl -O https://copr.fedorainfracloud.org/coprs/jasonish/suricata-stable/repo/epel-7/jasonish-suricata-stable-e...原创 2019-11-19 17:03:24 · 4140 阅读 · 0 评论 -
procps 获取进程信息
最近在使用wazuh时,发现在收集agent端的进程信息的时候,使用了一个第三方库 procps来处理/proc下面的信息的。使用方式1:调用openproc进行初始化,设置需要收集的信息标志;创建PROCTAB对象;2:调用readproc循环读取数据,每次遍历需要调用freeproc释放资源;3:最后调用closeproc,也是释放资源比如关闭打开的目录;看一下 w...原创 2019-11-13 12:39:08 · 1662 阅读 · 2 评论 -
wazuh 原理分析之Syscollector 系统信息收集工作流程
wazuh是从ossec-hids衍生过来的,部分架构设计有所不同, 多进程多线程模式。本机的进程之间通过Unix domain socket 进行通信的。今天简单介绍一下数据搜集的相关功能的实现(Linux系统)。注意由于篇幅所限, 在函数中我们只列出相关代码。可以先看一下官网的架构设计https://documentation.wazuh.com/3.9/getting-...原创 2019-11-07 17:20:31 · 3503 阅读 · 0 评论 -
wazuh agent 认证
wazuh 是一款hids, c/s架构, agent 要连上manager,需要进行认证。认证的方式有多种,下面提供一种比较简单的方式来处理:在agent端使用agent-auth来进行认证获取agent key查看帮助信息/var/ossec/bin/agent-auth -h使用方式/var/ossec/bin/agent-auth -m manager_ip...原创 2019-10-31 15:03:07 · 1527 阅读 · 0 评论 -
wazuh 日志收集原理分析
wazuh 默认安装到 /var/ossec目录下。我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。入口函数代码在src/logcollector/main.c中。int main(int argc, char **argv){ /* 初始化处理: 命...原创 2019-11-05 18:25:42 · 12850 阅读 · 0 评论