OSSEC_study2

最新推荐文章于 2019-08-19 21:25:24 发布
最新推荐文章于 2019-08-19 21:25:24 发布
阅读量1k 收藏
点赞数
分类专栏: OSSEC 文章标签: email system database sms events server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jo_say/article/details/6044275
版权

1. OSSEC 手册推荐你通过添写客户规则来修改行为并把它们添加到local_rules.xml文件,而不是编辑规则本身。

2. OSSEC是一个HIDS(host-based),而不是NIDS(net-based),just like Snort. But OSSEC can be used in conjuction with it by monitoring Snort's logs.

3. 监控对象:system logs, file integrity in system directories, system processor

4. OSSEC主要是监控并alert by email or SMS, 但是它也可以实现response(limited active-response)在检测之后。

5. rule是以xml形式放置在var/ossec/rules下

6. check the Manual ,有一个可以只让server连接断线时发送alert的规则修改方法,默认是agent&server disconnect都会alert

7. range从0到15,email_alert_level by default是7.

8. 如果某rule带有这样的tag:<options>alert_by_email</option>,则其会忽略ossec.conf文件的email发送的限制,总是发送email。所以如果有trivial events's email, this is probably why.

8. 文件完整性检查 integrity checking 通常只扫描 C:/system32.

9. database fiels in agents: c:/program files/ossec-agent/syscheck...

 

 

 

other:

mkdir , rm -rf,-r表示递归子目录,-f表示强制,reboot重启

ln:将档案 yy 产生一个 symbolic link : zz, ln -s yy zz

  将档案 yy 产生一个 hard link : zz, ln yy xx

返回上级目录cd .. ,*.sh文件执行是./*.sh

head/tail -n 行数 文件名 显示文件的前/后几行 

cat显示全部 -n 参数表示加编号

 

jo_say
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ossec_wui web管理
02-22
2. **安装ossec-wui**:下载ossec-wui-0.9的压缩包,解压后按照readme文件的指示进行安装,通常包括将文件复制到ossec服务器的适当目录,配置web服务器(如Apache或Nginx)以代理请求到ossec-wui。 3. **配置ossec-...
Linux环境下安装OSSEC相关小结
云里雾里的专栏
11-27 4805
安装OSSEC小结:linux_server+xp_agent 自己安装过程: 1. 安装ossec server 2. 解压缩tar -zxsf 3. 运行sudo sh install.sh 4. 提示判断有没有c编译器,可终端里输入gcc查看 5. 没有的话:sudo apt-get install build-essential 6. 继续安装,位置,我选了默认:/var/ossec 7. 建立快捷方式:ln -s /var/ossec /home/mean 【如果你的用户没有roo
Centos7搭建ossec-hids2.8.3入侵检测系统
kadwf123的专栏
08-19 3894
1、故事背景,项目要求三级等保,大家懂的。 2、操作系统版本 [root@ossec01 yum.repos.d]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) 3、安装wget 安装wget(如果有外网的话可以直接使用centos7安装后自带的yum源安装wget,没有外网使用本地安装镜像配置个本地源安装)...
开源入侵检测系统OSSEC的搭建及使用
东方欲晓的晓东的博客
07-08 4548
环境centos7 官网 http://www.ossec.net/ Linux下载地址 https://github.com/ossec/ossechids/archive/2.9.4.tar.gz wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz tar -xzvf 2.9.4.tar.gz ...
OSSEC安全监控环境搭建(docker+yum)安装
weixin_33748818的博客
09-05 921
一、搭建环境 参看文章: ossec官方安装文档 全网最详细的最新稳定OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(图文详解) 系统:Centos7 计算机 IP ossec-server 172.16.30.23 ossec-agent 172.16.30.24 安装软件及版本: ossec3.0 ma...
OSSEC直接向GMAIL发送alert的配制方法
可木的专栏
03-07 2307
按照mannul的介绍,直接在ossec.conf中配置如下: yes jack.23783@gmail.com smtp.gmail.com ossec@jack-ubuntu-desktop 1 1 可是gmail收不到任何alert邮件。 按照josay的方法,将alert以邮件发给本地root,http://blog.csdn.net/jo_say/arti
ossec.zip_In It Together_OSSEC_hids_recvfrom
最新发布
09-24
OSSEC is a full platform to monitor and control your systems. It mixes together all the aspects of HIDS (host-based intrusion detection), log monitoring and SIM/SIEM together in a simple, powerful and...
Log_Analysis_using_OSSEC.pdf
08-07
OSSEC does “security log analysis” It is not a log management tool Only stores alerts, not every single log I still recommend log management and long term storage of ALL logs Security Log Analysis ...
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器
05-24
生成状态:要求该角色将在以下方面工作: 红色的帽子德比安的Ubuntu 亚马逊Linux(2) 因此,您将需要其中一种操作系统.. :-)角色变量该角色具有一些您可以覆盖或需要覆盖的变量。 ossec_server_atomic_release: ...
【1. 概述】开源入侵检测系统OSSEC详解
胡杨林
05-19 4904
入侵检测系统(IDS)是用于检测服务器安全的防护系统,通常可分为基于主机(host-based)和基于网络(network-based)两大类。基于主机的入侵检测系统,顾名思义,需要在被监控的服务器上安装agent客户端,agent通过分析本地的日志、端口、进程等信息发现安全漏洞,然后将分析结果通过到中央数据库,该类型的入侵检测系统比较适合大量的服务器监控。而基于网络的入侵检测系统,则主要通过旁路的方式,对流量进行采样分析,从而发现其中的异常,由于一般机房的流量很大,所以很难进行全镜像流量分析,一般都是进行
OSSEC文档——输出及告警配置
c1052981766的专栏
02-28 2248
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/index.html输出及告警配置 OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。 通过syslog发送警报 Sysl...
开源EDR(OSSEC)基础篇- 01 -设计定位与能力输出
weixin_34391854的博客
12-28 1389
前言 介绍OSSEC之前,不得不提到当前比较热门的技术EDR,近几年随着大数据SIEM系统的发展,EDR(端点威胁检测与响应)技术成为了安全界万众宠爱的骄子,广泛用于威胁检测、攻击溯源和响应处理的安全场景。 而OSSEC是一款开源的跨平台的准EDR入侵检测响应系统,可以实现商业EDR 大部分的功能,可以说OSSEC是所有EDR商业产品的原型,发展至今已经...
开源EDR(OSSEC)基础篇- 02 -部署环境与安装方式
weixin_34232363的博客
12-28 2715
前言 上一篇介绍了OSSEC设计的定位以及产品输出的能力,在对OSSEC安全功能有个大体印象的前提下,我们接着开始实践OSSEC的安装和部署,本篇重点的重点是帮助初次接触或者对OSSEC不熟悉的同学,无痛安装,并能够用最短的时间在所服务的企业内部真正的使用起来。 1. 环境准备 1.1 拓扑图 1.2 部署清单 1.3 工作流 OSSEC-Serv...
ossec 常用命令及目录说明
weixin_33881041的博客
12-02 160
1.  /var/www/html/analogi  -》  ossec 第三方的web界面的安装目录 [root@ossec-server ~]# cd /var/www/html/analogi/ [root@ossec-server analogi]# ls about.php db_ossec.php.new index.php php a...
OSSEC 学习教程一
weixin_33924770的博客
03-08 1015
只抽红梅 · 2013/09/24 11:55简介写在前面的话,网上能够找到一些关于ossec方面的资料,虽然很少,但是总比没有强,不过在实际的使用过程中还是会碰到许多稀奇古怪的问题。整理整理我的使用过程,就当做一篇笔记吧。PS:本文填了很多坑。OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能...
ossec study-4:如何设置将ossec的警告邮件从root(root@localhost)发给自己的邮箱(如gmail邮箱)
云里雾里的专栏
12-02 6557
:之前在安装的时候,我们采用的是将alert发给本地,当时的邮箱名为:root@localhostStmp:127.0.0.1.有一个向导提到配置/etc/aliases就可以完成将发送到root的邮件转发到其他外部邮件服务器。方法很简单:1. 安装sendmail apt-get install sendmail2. 按照很多说明,此时就可以使用mail命令了,但是我使用时ubuntu还是出现了问题,让我安装新的安装包3. 我也不知看了那一个说明了:apt-get install mailx但是提示我有三
ubuntu 10.10 安装snort acidbase相关注意事项
云里雾里的专栏
04-02 4950
在安装snort的过程中遇到了一点困难,但还是完成。下午将依据一篇http://blog.solrex.org/articles/implement-snort-ids-on-ubuntu-710.html的一篇博文,提出自己安装过程出现的问题和解决办法。由于以上博文是在ubuntu7.10环境中进行,本文在10.10中进行。1 第一点区别:我之前已经安装过LAMP和pcap、phpMyAdmin(用php编写的可以用来管理mysql的web工具)。2 安装Snort:准备工作:通过ubuntu的apt-g
OSSEC_study3——install WUI
云里雾里的专栏
12-01 3832
以下是安装过程的一些记录。本study目的:安装WUI of ossec。Ossec官网有专门的安装文档以及专门的ubuntu上安装文档。稍有差别。两个地方容易出现问题:1添加apache用户组时,需要查询当前apache用户,一般是www-data,向导是www2最后firefox在ubuntu10后,不能直接识别php,后面有解决方案。以下是安装过程的一些记录。本study目的:安装WUI of ossec1. ubuntu下查看某个软件是否安装,并且查看安装位置dpkg -l | grep filen
Ossec IDS与Elasticsearch部署教程:服务器与客户端安装详解
该系统通过邮件通知(ossec-maild)、主动响应(ossec-execd)、日志分析(ossec-analysisd)、远程日志接收(ossec-remoted)以及系统检查(ossec-syscheckd)等功能实现监控。 在这个安装过程中,文档首先介绍了环境配置,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值