OSSEC an open source HIDS --- Log Analysised ( 2 )

最新推荐文章于 2024-07-16 23:28:44 发布
最新推荐文章于 2024-07-16 23:28:44 发布
阅读量132 收藏
点赞数
分类专栏: 入侵检测 | OSSEC 文章标签: 正则表达式 XML 工作

承接自上文 OSSEC an open source HIDS --- Log Analysised ( 1 )

下面转向我们的主题:Log analysised---The main process.

Log analysised 包含了日志的解码与分析,是非常艰难的工作。

     

以下是Log analysised的执行步骤:

1.日志预解码 Log pre-decoding

2.日志解码 Log decoding

3.日志分析 Log analysis

         

接下来详细说明以上三个步骤:   

1.日志预解码 Log pre-decoding

目的:从日志中提取一般的信息。

例如:从系统日志头中获取主机名,程序名和时间等等。

条件:日志必须格式良好。

 

例1:

假设系统日志中新产生了一条系统信息:

Apr 13 13:00:01 enigma syslogd: restart

在OSSEC中,经预解码后,看起来将会像以下这个样子:

time/date -> Apr 13 13:00:01
hostname -> enigma
program_name -> syslogd
log -> restart 

 

例2: 

假设SSHD日志中新产生了一条SSHD信息:

Apr 14 17:32:06 enigma sshd[1025]: Accepted password for root from 192.168.2.190 port 1618 ssh2

在OSSEC中,经预解码后,看起来将会像以下这个样子:

time/date -> Apr 14 17:32:06 

hostname -> enigma

program_name -> sshd

log -> Accepted password for root from 192.168.2.190 port 1618 ssh2

 

 例3:

 假设SSHD日志中新产生了一条ASL信息:

[Time 2006.12.28 15:53:55 UTC] [Facility auth] [Sender sshd] [PID 483]

[Message error: PAM: Authentication failure for username from 192.168.0.2]

[Level 3] [UID -2] [GID -2] [Host mymac]

               

在OSSEC中,经预解码后,看起来将会像以下这个样子:

time/date -> Dec 28, 2006 15:53:55
hostname -> mymac
program_name -> sshd
log ->  error: PAM: Authentication failure for username from 192.168.0.2

 

 

2.日志解码 Log decoding

日志解码是为了获得比预解码更深入的信息,这次不是从日志头中提取,而是从日志内容中用正则表达式(Regular Expresion)标识出某些关键字,一般我们需要提取源IP地址,用户名,ID号等等的信息。 

我们有上百条默认的解码规则,它们被保存在decoder.xml文件中。

程序启动时,经过OSSEC处理,这些解码规则将被读入一个树状的结构中。

   

例1:

假设SSHD日志中新产生了一条SSHD信息:

Apr 14 17:32:06 enigma sshd[1025]: Accepted password for root from 192.168.2.190 port 1618 ssh2

在OSSEC中,经解码后,看起来将会像以下这个样子:

time/date -> Apr 14 17:32:06 
hostname -> enigma
program_name -> sshd
log -> Accepted password for root from 192.168.2.190 port 1618 ssh2

srcip -> 192.168.2.190
user -> root

 

 

3.日志分析 Log analysis

日志被解码之后的下一步,是检查是否有与之相匹配的规则。

OSSEC有400多条默认的规则,用XML形式保存。

程序启动时,经过OSSEC处理,所有规则都被读入一个树状的结构中。

规则只能用来匹配被解码之后的日志信息。

由于解码器的存在,规则和日志的初始化之间没有直接的联系。

 

 

 

匹配过程图解如下:

             

 

     

这种方法类似绝大多数的日志分析工具,不是以水平的方式进行的。

这种方法十分有效,平均每条日志只用匹配7-8条规则,而不是全部的400条。

 

           

自此,OSSEC整个日志分析过程的讲解到此完毕。

 

原文出处:《Log Analysis using OSSEC》 作者:Daniel B. Cid

 

 

 

 

 

 

 

ouyangjia7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ossec-hids-3.3.0-pcre2.tar.gz
08-22
"ossec-hids" 指的是 OSSECOpen Source Security Information and Event Management)主机入侵检测系统,这是一个开源项目,用于监控系统日志、检测异常行为和潜在的攻击。"3.3.0" 是该软件的版本号,表明这是 ...
ossec-hids-2.8.2.zip
06-22
**ossec-hids-2.8.2.zip** 是一个包含OSSEC主机入侵检测系统(Host-based Intrusion Detection System)的版本2.8.2的压缩包。OSSEC是一款开源的、多平台的HIDS,它能提供实时的系统监控、警报以及日志分析功能,...
OSSEC an open source HIDS --- Log Analysised ( 1 )
ouyangjia7的专栏
03-26 158
      OSSEC最基本的功能就是日志分析。            OSSEC有两种工作模式,Local和Agent/Server。         下面分别介绍,在两种工作模式下,OSSEC的日志处理流程。         首先在Local模式下,OSSEC的日志处理流程如下:                         在Local模式下,一般的日志处理流程可拆分为:       ...
OSSEC an open source HIDS --- OverView
ouyangjia7的专栏
03-26 170
      OSSEC 是一个开源的基于主机的入侵检测系统。             OSSEC 的功能主要有:             1.日志分析 Log analysis             2.文件完整性检查 File Integrity checking (For Unix and Windows)             3.注册表完整性检查 Registry Integrity...
OSSEC an open source HIDS --- LogCollector
ouyangjia7的专栏
03-31 199
这些天仔细分析了OSSEC日志收集(LogCollector)部分的细节。        OSSEC-LogCollector是创建一个无限循环,类似一个监听日志的守护进程,只要监听到日志有变动,就用SOCEKT发送消息给日志分析(analysisd)的守护进程,然后进行解码、匹配等操作。        下面先讲OSSEC是如何读取日志的。以读取WINDOWS XP下的事件日志为例。 读取事件日...
ossec-hids-3.6.0 源码
03-28
2. **解压源码**:使用`tar -zxvf ossec-hids-3.6.0.tar.gz`命令解压源码包。 3. **配置源码**:进入源码目录,运行`./configure`以检测系统环境并生成Makefile。 4. **编译源码**:执行`make`命令,编译源码生成可...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
**WAZUH-OSSEC 开源安全平台安装详解** WAZUH-OSSEC 是一个强大的开源安全监控系统,它提供了实时的入侵检测、主机完整性检查和日志聚合功能。该平台支持多种操作系统,包括 CentOS8,在企业环境中广泛用于提升网络...
ossec-hids-1.6
09-19
OSSEC (Open Source Security Information Management System - 开源安全信息管理系统) 是一款强大的主机入侵检测系统(HIDS),它能够监控和保护操作系统免受恶意活动的影响。版本1.6是该软件的一个早期版本,尽管...
精通Postman响应解析:正则表达式的实战应用
2401_85742452的博客
07-10 789
正则表达式是一种用于搜索、替换、检索字符串的模式,它使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。
linux的学习(七):读取,函数,正则表达式,文本处理工具cut和awk
最新发布
weixin_45037073的博客
07-16 641
方法名()方法体/bin/bashecho $sadd $a $b这个脚本就是提示用户输入a,b两个参数add $a $b调用方法,传入a,b变量使用-v参数可以引入自定义变量,传递给’'部分。
正则表达式怎么控制匹配的字符串更近的一个
07-14 967
http((?!正则表达式怎么控制匹配的字符串更近的一个正则如何匹配最近的字符 正则如何匹配最近的两个字符怎么控制只要离字符串b匹配更近一点的字符串a解释a.b,它将会匹配最长的以a开始,以b结束的字符串 a.?b匹配最短的,以a开始,以b结束的字符串 我想要的是结合体, 匹配最长 但是最后要的是以最后一个a结尾,最后一个b结尾的字符串正则表达式,它能够匹配最长的以第一个a开始,以最后一个b结束的字符串。这种需求通常需要使用贪婪匹配来获取最长的匹配,但同时又要确保匹配的是最后一个a和最后一个。
正则表达式(详解)
大学生小郑的博客
07-15 685
正则表达式(详解)
正则表达式的基于Java的应用
qishuang6的博客
07-12 886
将当前字符串按照满足正则表达式要求的部分拆分,将拆分后的每部分字符串最终以。如果字符串开始就可以出现可拆分项,则拆分出的第一个字符串为空字符串。将当前字符串中所有满足正则表达式的部分替换为给定的内容。如果连续匹配到两个可拆分项,则中间会拆分出一个空字符串。如果末尾拆分出空字符串时,会被【全部忽略】
Java-正则表达式
lizhiwei21的博客
07-16 142
"." : 匹配任何字符。"\d":任何数字[0-9]的简写;"\D":任何非数字0-9的简写;"\s" : 空白字符:[ \t\n\x0B\f\r] 的简写"\S" : 非空白字符:\s 的简写"\w" :单词字符:[a-zA-Z_0-9]的简写"\W":非单词字符:\w。
python 正则表达式
qq_41122834的博客
07-16 127
match从字符串开头匹配,如果开头位置没有匹配成功就算失败;而search会跳过开头,继续向后寻找是否有匹配的字符串。**split切片函数,**使用指定的正则规则在目标字符串中查找匹配的字符串,用他们作为分界,返回一个被切完的字符串列表。sub返回一个被替换的字符串。subn返回一个元组。
SQL-正则表达式
好好学习 天天向上
07-16 795
正则表达式的用法非常灵活,可以根据具体的需求来选择合适的字符、特殊字符、量词、分组等来构建匹配规则。同时,正则表达式还支持一些高级的特性,如贪婪模式、非贪婪模式、修饰符等,可以进一步扩展正则表达式的功能。正则表达式的详细用法还有很多,可以根据具体的需求来选择合适的正则表达式和相应的函数来进行操作。:引用前面的分组,用于匹配相同的内容。:匹配前一个字符至少n次,最多m次。:匹配前一个字符0次或多次。:匹配前一个字符1次或多次。:匹配前一个字符0次或1次。:匹配前一个字符恰好n次。:匹配前一个字符至少n次。
【qt】正则表达式来判断是否为邮箱登录
qq_74047911的博客
07-13 292
正则表达式来判断是否为邮箱登录
ossec-agent
04-30
OSSEC-Agent是一种基于开源OSSIM安全信息和事件管理系统的轻量级客户端,主要用于监控和保护服务器、工作站和工作流程。OSSEC-Agent与OSSEC-Server通信,定期收集系统日志、文件变更、注册表内容的变化等信息,进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值