OSSEC输出警告到Mysql方法

最新推荐文章于 2022-03-20 21:11:59 发布
最新推荐文章于 2022-03-20 21:11:59 发布
阅读量679 收藏
点赞数
文章标签: mysql linux 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42426075/article/details/105522734
版权

启用数据库支持

您必须在OSSEC服务器上安装MySQL客户端库。通常在Ubuntu上

# apt install mysql-server libmysqld-dev

然后需要设置DATABASE环境变量并运行“./install.sh”脚本,以编译OSSEC与适当的数据库支持。
如果OSSEC之前是在没有数据库支持的情况下编译的,那么应该从src目录中删除上一个构建过程中创建的文件。

# cd /ossec-hids/src
# make clean

一旦旧文件被删除,就可以执行安装(之前安装过则会只执行更新操作)。

# cd /ossec-hids
# DATABASE=mysql ./install.sh

在配置中启用数据库输出

安装完成后,需要启用数据库支持。下面的命令将在下一次重新启动时启用数据库守护进程。

# /var/ossec/bin/ossec-control enable database

配置MySQL

数据库创建

创建一个数据库,设置数据库用户,并使用以下命令添加模式(位于分布的src/os_dbd目录中)。

# mysql -u root -p

mysql> create database ossec;    //创建名为ossec的数据库

mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossecuser@<ossec ip>  identified by "password";  
 //赋予地址为<ossec ip>上的用户名为ossecuser,密码为password的用户对ossec数据库的表增删改查的权限。如果<ossec ip>填localhost则代表本地
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;     //刷新权限修改
Query OK, 0 rows affected (0.00 sec)

mysql> quit

#cd /ossec-hids/src/os_dbd
# mysql -u root -p ossec < mysql.schema

OSSEC创建

为了让ossec将警报和其他数据输出到数据库中,/var/ossec/etc/ossec.conf需要添加一个<database_output>节。

<ossec_config>
    <database_output>
        <hostname>192.168.2.30</hostname>
        <username>ossecuser</username>
        <password>password</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>
</ossec_config>

需要根据之前的设置更正安装主机名、mysql用户、密码和数据库的值。

完成MySQL输出

剩下的工作就是启用数据库守护进程并重新启动ossec以使更改生效

# /var/ossec/bin/ossec-control enable database
# /var/ossec/bin/ossec-control restart

查看OSSEC输出数据库

mysql -u root -p //登入数据库
show databases;  //显示已有数据库名
show tables from ossec;  //显示ossec数据库的表名

在这里插入图片描述

show columns from alert;  //显示alert表的列

在这里插入图片描述
其他列的查询同理

Wazuh部署记录
墨痕诉清风的博客
04-29 731
Wazuh是一个免费的开源安全平台,统一了XDR和SIEM功能。它可以保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。443:仪表盘界面访问端口1515:探针连接服务器端口1514:探针回传信息端口以上3个端口必须打开防火墙。
OSSIM关联分析讨论
Alan Zhuang的博客
01-04 2007
在《开源安全运维平台OSSIM最佳实践》一书中叙述到,事件关联是整个OSSIM关联分析的核心,对于OSSIM的事件关联需要海量处理能力,主要便于现在需要及时存储从设备采集到的日志,并能关联匹配和输出,进而通过Web UI展示。从实时性上看,关联分析的整个处理过程不能间断,这对系统的实时性要求较高,另外Ossim系统是基于规则的,Ossim内部具有多套高速规则分析引擎,以实现模式匹配和对关联分析结果
OSSEC配置文件ossec.conf中添加mysql服务
dieman0446的博客
07-14 238
配置路径:/opt/ossec/etc/ossec.conf <ossec_config> <global> <email_notification>yes</email_notification> <email_to>pentest.test@163.com</email_to> <...
ossec支持mysql数据库_DevOps工具介绍连载(46)——OSSEC
weixin_39848347的博客
02-08 169
原标题:DevOps工具介绍连载(46)——OSSEC开源入侵检测工具ossec安装配置(HIDS)ossec主要功能有日志分析、完整性检查、rookit检测、基于时间的警报和主动响应。///服务端安装1、yum installwget gcc make httpd php php-mysql sendmail installMariaDB- serverMariaDB MariaDB-devel...
ossec支持mysql数据库_开源入侵检测工具ossec安装配置(HIDS)
weixin_34469962的博客
02-08 447
ossec主要功能有日志分析、完整性检查、rookit检测、基于时间的警报和主动响应。///服务端安装1、yum install wget gcc make httpd php php-mysql sendmail install MariaDB-server MariaDB MariaDB-devel -y2、启动systemctl start httpdsystemctl start send...
Error compiling OSSEC HIDS with Mysql support
chengfangang的专栏
07-10 3020
Error compiling OSSEC HIDS with Mysql support up vote0down votefavorite I work with OSSEC HIDS In Ubuntu 11.10 from the instructions on the OSSEC wiki. W
ossec支持mysql数据库_OSSEC 加固linux系统详细配置
weixin_35161750的博客
02-05 526
OSSEC是一个开源的基于主机的入侵检测系统,执行日志分析,文件完整性检查,政策监控,rootkit检测,实时报警和积极响应。它可以运行在大多数的操作系统,包括Linux,MacOS的时,Solaris,HP-UX,AIX和WindowsOssec部署方式为C/S,以下server:192.168.22.240 client:192.168.22.241先关闭selinux,安装常用包环境 C...
OSSEC入侵检测系统:安装与配置详解
"本文主要介绍了OSSEC,一个开源的基于主机的入侵检测系统(HIDS),以及如何安装和配置OSSEC服务器以实现与MySQL数据库的兼容。OSSEC提供了日志分析、文件完整性检查、策略监控、rootkit检测、实时报警和动态响应等...
安全最佳实践:防御注入攻击,同时避免#1062错误的方法
本文系统地探讨了防御注入攻击的理论基础和策略,涵盖了不同平台包括Web应用、数据库和代码层面的防护方法。深入分析了#1062错误的成因、诊断和预防技术手段,并提出了一套综合防御注入攻击与#1062错误的策略,包括...
【日志完整性校验方法】:专家教你确保日志数据不丢失和真实性的技术
接着,文中深入讨论了校验技术的实现方法,如校验算法选择、实时与周期性校验流程,以及校验结果的分析与报告。第四章着重分析了日志完整性校验工具的选择与企业部署实践,诊断与优化校验过程中的常见问题。最后,...
ossec mysql_OSSEC日志存入Mysql
weixin_39714164的博客
01-19 105
OSSECOutputandAlertoptionsSendingoutputtoaDatabaseOSSECsupportsMySQLandPostgreSQLdatabaseoutputs.1.ConfigurationoptionsTheseconfigurationsoptionscanbespecifiedintheserverorlo...
OSSEC日志存入Mysql
weixin_34292924的博客
03-26 211
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC文档——输出告警到MySQL
c1052981766的专栏
02-28 496
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/mysql-database-output.html输出告警到MySQL 数据库设置 创建一个数据库,设置数据库用户,并执行下面的命令。# mysql -u root -p mysql&gt; create database ossec; mysql&gt; grant I...
Centos7搭建部署ossec-server2.8.1
小晓晓晓林的博客
01-06 3357
安装ossec-server端前提环境准备 首先我们安装需要用到的关联库和软件,由于我们最终是需要把日志导入到MySQL中进行分析,以及需要通过web程序对报警结果进行展示,同时需要把本机当做SMTP,所以需要在本机安装MySQL、Apache和sendmail服务。在当前的终端中执行如下命令: yum install wget gcc make mysql mysql-server mys...
OSSEC搭建部署(ossec-server(CentOS7.X)ossec-agent(CentOS7.X))
weixin_44304678的博客
03-20 1万+
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 环境: 两台centos 7虚拟机 服务端:192.168.1.160 客户端:192.168.1.165 第一步: 前提环境准备(在ossec-server端) 关闭selinux,找到SELINUX这一行,修改为disabled [r
ossec启动报ossec-remoted(1206): ERROR: Unable to Bind port错误解决方法
HRay's blog
10-20 2081
今天部署ossec,启动时ossec-remoted一直都无法启动,日志出现如下错误 2017/10/20 16:43:53 ossec-remoted: INFO: Started (pid: 2699). 2017/10/20 16:43:53 getaddrinfo: Name or service not known 2017/10/20 16:43:53 ossec-remoted(1
OSSEC 加固linux系统详细配置
weixin_34194087的博客
08-13 170
ossec官方网站http://www.ossec.net/ossec帮助文档http://ossec-docs.readthedocs.org/en/latest/manual/index.htmlOSSEC是一个开源的基于主机的***检测系统,执行日志分析,文件完整性检查,政策监控,rootkit检测,实时报警和积极响应。它可以运行在大多数的操作系统,包括Linux,Ma...
ossec logstash es大数据安全分析实践
2. 配置logstash:设置logstash的输入插件监听ossec的警报输出,使用过滤器插件处理和标准化数据,然后通过elasticsearch输出插件将数据推送至elasticsearch。 3. 部署elasticsearch:根据需求选择合适的硬件或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值