OSSEC HIDS -监视追加文件

最新推荐文章于 2020-05-19 23:35:14 发布
最新推荐文章于 2020-05-19 23:35:14 发布
阅读量158 收藏
点赞数
1.在server 和 agent 的ossec.conf中,都追加这样一条:
< alert_new_files>yes</ alert_new_files>
例如:

<directories
check_all="yes">/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/loca<wbr>l/sbin&lt;/directories&gt; <br> &lt;<b style="color: black; background-color: rgb(255, 255, 102);">alert_new_files</b>&gt;yes&lt;/<b style="color: black; background-color: rgb(255, 255, 102);">alert_new_files</b>&gt; <br></wbr>

...
2.然后,在local_rules.xml 中追加如下配置:


<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
然后再重启server 和agent上的ossec,生效。

解释:
上面这条规则的含义是,覆盖ossec_rules.xml中的规则554。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
因为在ossec的规则554中,默认是不打开对追加文件的监视和提醒的。


iteye_15883
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ossec2.8.1
02-22
 OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 2.8.1版本
开源HIDS OSSEC部署与扩展使用(安检)
3569
01-24 4583
0x01 概述 from http://vinc.top/2017/12/26/%e3%80%90%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e5%ae%9e%e6%88%98%e3%80%91%e5%bc%80%e6%ba%90hids-ossec%e9%83%a8%e7%bd%b2%e4%b8%8e%e6%89%a9%e5%b1%95%e4%bd%bf%e7
企业安全实战】开源HIDS OSSEC部署与扩展使用
阳光灿烂的日子的博客
03-26 1683
0x01 概述 关于HIDS,并不是一个新鲜的话题,规模较大的企业都会选择自研,而如果你刚刚接手一个公司的网络安全,人手相对不足,那么OSSEC能帮助你安全建设初期快速搭建一套安全系统,后期如果遇到瓶颈也可以考虑自研去解决一些问题。 0x02 主要功能介绍 OSSEC的主要功能包括日志分析、文件完整性检测、Rootkit检测以及联动配置,另外你也可以将自己的其他监控项集成到OSSEC中。 ...
windows 资源监视
weixin_30772105的博客
04-20 116
windows的资源监视器有很强大的资源监视能力 win+r输入resmon.exe即可打开 转载于:https://www.cnblogs.com/zhengwenqiang/p/6804566.html
ossec-hids-2.8.2.zip
06-22
在**ossec-hids-2.8.2**这个压缩包中,您将找到OSSEC的源代码、安装脚本、配置文件以及文档等资源。安装过程通常包括解压文件、编译源代码、配置系统参数和启动服务。安装完成后,需要根据您的环境配置OSSEC的规则和...
ossec-hids-3.6.0 源码
03-28
**ossec-hids-3.6.0 源码详解** OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
"ossec-hids-3.3.0" 这个子文件名通常包含OSSEC的源代码、配置文件、文档、脚本等所有必要的组成部分,如: 1. **源代码**:实现OSSEC核心功能和模块的C语言代码。 2. **配置文件**:预设的服务器和代理配置,用户...
ossec-debian:OSSEC HIDS Debian软件包
05-12
这些是用于创建OSSEC-HIDS 2.8版debian软件包的文件,这些文件包含在ossec.net网站和WAZUH存储库中。 您可以在以下位置找到这些软件包: 或直接在以下: : 这些文件可以构建两个不同的程序包: ossec-hids:...
ossec-hids-1.6
09-19
安装OSSEC-HIDS 1.6的过程通常涉及下载软件包(如提供的ossec-hids-1.6)、解压、配置设置(包括定义监控的文件和目录、设置警报接收方式等)以及启动服务。配置文件位于/etc/ossec/etc/下,管理员可以根据需要...
实时监控单个追加文件
zty19940628的博客
05-19 249
# Name the components on this agent a2.sources = r2 a2.sinks = k2 a2.channels = c2 # Describe/configure the source a2.sources.r2.type = exec a2.sources.r2.command = tail -F /opt/module/datas/A.log a2.sources.r2.shell = /bin/bash -c # Describe the sink a2
OSSEC - Agent端查看命令
dieman0446的博客
12-28 313
命令:/opt/ossec/bin/agent_control -h注释:/opt/为安装目录 1 [root@redhat rules]# /opt/ossec/bin/agent_control -h 2 3 OSSEC HIDS agent_control: Control remote agents. 4 Available options: 5 ...
OSSEC文件监控(SYSCHECK)
weixin_33895516的博客
03-26 480
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC文档——文件监控
c1052981766的专栏
02-28 1309
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/file-log-monitoring.html文件监控 概述 OSSEC有一个名为 ossec-logcollector的进程,它可以监视日志文件的新事件。当新的日志消息到达时,它将它们转发到其他进程进行分析或传输到一个OSSEC服务器。 配置项 ossec-...
Ossec常用命令
dieman0446的博客
07-14 156
启动并查看httpd服务 systemctl start httpd systemctl status httpd.service 启动并查看mysql服务 systemctl start mariadb systemctl status mariadb.service 启动并查看sendmail服务 systemct...
OSSEC监控有新建文件时报警。
weixin_34355715的博客
09-21 133
from:http://www.immutablesecurity.com/index.php/2009/10/26/week-of-ossec-day-2-detecting-new-files/ Even so, getting alerts on new files can be useful. Here’s how you do it: 1. Add to...
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 686
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
OSSEC文件监控和命令监控(附文件监控测试用例)
zhang35的博客
04-14 1478
OSSEC的log文件监控(LIDS,log-based intrusion detection),能检测攻击、误用、系统错误等。 agent端不产生alerts,全部由server集中分析处理。 具体参考官方文档:Log monitoring/analysis 文件监控 ossec-logcollector进程负责监控log文件和事件,有新的日志消息时就转发到server。 配置文件为ossec...
OSSEC文档——过程监控
c1052981766的专栏
02-28 1025
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/process-monitoring.html过程监控 概述 在OSSEC中,我们将一切都看作是一个日志,并按照我们的规则对它进行适当的解析。但是,有些信息在日志文件中是不可用的,但是我们仍然需要监视它。为了解决这一差距,我们增加了通过OSSEC监视命令输出的能力,并...
OSSEC HIDS安装部署
最新发布
09-09
OSSEC HIDS(Host Intrusion Detection System)是一种用于监测和防御主机的入侵的软件。它可以通过分析日志、检测文件完整性、检测Rootkit等功能来保护主机的安全。 要安装和部署OSSEC HIDS,你可以按照以下步骤进行操作: 1. 下载OSSEC HIDS软件包并解压缩。 2. 进入解压后的目录,并执行安装脚本。 3. 根据提示完成软件的安装过程。 4. 安装完成后,可以使用以下命令启动和停止OSSEC HIDS: - 启动OSSEC HIDS:/var/ossec/bin/ossec-control start - 停止OSSEC HIDS:/var/ossec/bin/ossec-control stop 5. 要查看或修改OSSEC HIDS的配置,可以编辑配置文件/var/ossec/etc/ossec.conf。 6. 部署完成后,你还可以将其他监控项集成到OSSEC HIDS中,以满足自己的需求。 如果在安装和使用OSSEC HIDS的过程中遇到任何问题,你可以访问https://github.com/ossec/ossec-hids 或者使用他们的公共邮件列表https://groups.google.com/forum/#!forum/ossec-list 寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值