ossec集成自定义脚本

最新推荐文章于 2024-10-11 07:24:47 发布
最新推荐文章于 2024-10-11 07:24:47 发布
阅读量864 收藏
点赞数
分类专栏: ossec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hrayha/article/details/78465386
版权

在使用ossec之前我们这边零零散散的写了几个安全功能的脚本,放在机器上要一直监控进程是不是存在,使用ossec后,可以通过在客户端的ossec.conf中增加如下内容

  <localfile>
    <log_format>full_command</log_format>
    <command>/usr/bin/python xxx.py</command>
    <frequency>10</frequency>
  </localfile>


其中frequency可以指定执行间隔时间,这里我设置的是10秒执行一次

参考https://ossec.github.io/docs/manual/monitoring/index.html

hrayha
关注
专栏目录
OSSEC文档——创建自定义解码器和规则
c1052981766的专栏
02-28 1529
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器和规则 OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。 添加要监视的文件...
OSSEC-编写自己的DECODE
chengfangang的专栏
07-16 1441
关于OSSEC: OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,rook-kit检测。作为一款HIDS, OSSEC应该被安装在一台实施监控的系统中。 OSSEC 之所以产生报警,就是由于抓到了信息后由DECODE对信息
驭龙HIDS开源项目使用教程
最新发布
gitblog_00848的博客
10-11 832
驭龙HIDS开源项目使用教程 yulong-hids-archived [archived] 一款实验性质的主机入侵检测系统 项目地址: https://gitcode.com/gh_mirrors/yu/yulong-hids-...
OSSEC文档——规则分类(级别)
c1052981766的专栏
02-28 1799
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...
OSSEC文档
c1052981766的专栏
02-27 570
翻译:http://ossec-docs.readthedocs.io/en/latest/index.html    基于OSSEC2.8.1版本    OSSEC是一个开源的基于主机的入侵检测系统。它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时报警和主动响应。可以运行在大多数操作系统上,其中包括Linux、OpenBSD、FreeBSD、Mac OS X、...
【入侵检测】驭龙系统Windows下面部署
qq_33163943的博客
10-06 1492
巡风系统和驭龙系统都是国人开发非常优秀的开源产品 经过几天的折磨在Windows和Linux 下面都完成部署 Linux 建议dockers 一键部署 比较方便 我的是Debian 驭龙能完美运行 驭龙系统需要部署的软件 Windows下面部署需要的软件  elasticsearch-5.6.8【5.X可能不支持6.X】 MongoDB【建议用3.X以上】 Go语言编译器 【自动检测...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
综上所述,"ossec-hids-3.3.0-pcre2.tar.gz" 是一个包含OSSEC 3.3.0版本且集成PCRE2的压缩包,适用于那些希望在自己的服务器上部署强大且易于安装的HIDS解决方案的管理员。该压缩包不仅提供了源代码,还包含了快速...
基于ossec logstash es大数据安全关联分析
07-08
通过集成OSSEC,企业可以实现对网络内各主机的安全状态进行实时监控与管理。 #### Logstash概述 Logstash是一个开源的数据处理管道工具,主要用于收集、解析和转发日志文件。Logstash支持多种输入源,包括文件、...
OSSEC Guide.pdf
07-23
5. **实时响应机制**:当OSSEC检测到安全事件时,它能够迅速采取措施进行响应,如记录事件、发送警报邮件或者执行预定义的脚本。 6. **灵活的配置与管理**:用户可以根据自身的需求灵活地配置OSSEC的各种设置,...
Snort、Suricata、Bro/Zeek、OSSEC 之间有什么区别和特点
04-08
它支持自定义脚本和插件,可以为特定的网络环境和需求进行定制。 4. OSSEC:OSSEC 是一个开源的主机入侵检测系统(HIDS),可以检测主机上的恶意行为,并生成警报和报告。它可以与其他 IDS 系统和 SIEM 集成,是一...
Wazuh部署记录
墨痕诉清风的博客
04-29 308
Wazuh是一个免费的开源安全平台,统一了XDR和SIEM功能。它可以保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。443:仪表盘界面访问端口1515:探针连接服务器端口1514:探针回传信息端口以上3个端口必须打开防火墙。
OSSEC HIDS 功能有日志分析
01-02
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
最后防线:三款开源HIDS应用对比评估
debugeeker的专栏
04-16 1213
本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景。 简介 Wazuh:一款免费、开源的企业级安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。 Osquery: 用于Windows、OS X(MacOS)、Linux和FreeBSD的操作系统工具框架, 使低级操作系统分析和监控既有性能又直观。 AgentSmith: 一个基于云本地主机的入侵检测解决方案项目,旨在通过现代架构提供下一代威胁检测和行为.
驭龙HIDS安装及测试
weixin_34112208的博客
06-08 803
0x00、安装前准备工作1、服务端:192.168.89.180(4GB内存,需要安装mongodb,elasticsearch,下载驭龙的编译好的包上传/home并运行web,然后初始化,最后运行server端,然后查看所有端口号是否开启:9200,9300,80,443,27017,33433) (建议:为服务端配置好yum源,安装好wget、unzip、如果系统时间不对在安装上ntpdate...
驭龙HIDS的简介,它开源了
lengye7的博客
04-02 6253
转载自:https://www.jianshu.com/p/6f1e49d80beb前言HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为一款HIDS,应当包括了主机重要日志分析,重要系统文件完整性检查,root-kit检测等功能。国外开源HIDS产品Ossec是著名的开源的多平台入侵检测系统。而在生产环境中,很多同学会使用基于...
linux环境下模拟实现命令解释器_反弹shell逃逸基于execve的命令监控(上)
weixin_39623271的博客
12-21 301
微信公众号:七夜安全博客关注信息安全技术、关注 系统底层原理。问题或建议,请公众号留言。一.前言本篇聊一聊 新的主题:《反弹shell-逃逸基于execve的命令监控》,打算写一个专题,预估可以写三篇,内容确实有点多,也是最近研究了一些有意思的东西,想给大家分享一下。喜欢的话,请大家一定点在看,并分享出去,算是对我原创最大的支持了。二.Shell命令监控在linux中,大家用的比较多的...
OSSEC与snort的连接实验
可木的专栏
10-27 2454
OSSEC客户端首先要跟服务端建立连接。 OSSEC客户端的配置文件里面要添加       C:\Snort\log\alertfull.ids      snort-full   其中,alertfull.ids是Snort产生的日志文件,好像必须为full模式的日志,fast模式实验没推送成功,同时,日志文件名不能有下划线 '_' ,不然也不能推送。 snort-full是日
信息安全 | 威胁特征规则介绍与编写:Snort规则
.
09-10 1682
Snort规则 Snort是一个轻量级的网络入侵检测系统。具有实时数据流量分析日志IP网络数据包捕获的能力,能够进行协议分析,对内容进行搜索/匹配。通过编写规则文件,能够检测各种不同的攻击方式,对攻击进行实时告警。 支持平台 Windows,Linux和Mac OS 参考文档 wangan.com/docs/snortnet 规则组成 规则规则行为 协议类型 源/目的IP地址 子网掩码 方向操作符 源/目的端口 规则选项 告警信息 异常数据的信息(特征码、signature)
OSSEC服务端配置客户端批量部署方案
weixin_34309543的博客
03-08 509
hello · 2015/10/16 15:030x00 前言最近也在研究ossec报警规则,还没研究的很透彻,暂时不是这篇文章的内容。ossec中文资料还是比较少,外文文献比较多。之前看到drops的两篇文章分享drops.wooyun.org/tips/2821,drops.wooyun.org/tips/636,看到评论都说批量部署是个坑,比较麻烦。现在说下我的方案,如何批量安装部署客户端。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值