wazuh配置mysql日志分析

已于 2024-06-02 14:07:47 修改
阅读量368 收藏 8
点赞数 4
文章标签: 安全威胁分析 网络安全
于 2024-05-30 17:00:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63279914/article/details/139329004
版权

wazuh配置mysql日志分析

1.先排除原有的0295-mysql_rules.xml

<!--在ossec.conf文件中的ruleset标签下 -->
<rule_exclude>0295-mysql_rules.xml</rule_exclude>

2.解码器配置

<decoder name="mysql_log">
  <prematch>\d+ Connect|\d+ Query</prematch>
  <regex offset="after_prematch">Access denied for user '(\S+)'@'(\S+)'</regex>
  <order>user, srcip</order>
</decoder>

3.配置对应的mysql检测规则

在local_rules.xml文件下

<group name="mysql_log,">
  <rule id="50100" level="0">
    <decoded_as>mysql_log</decoded_as>
    <description>MySQL messages grouped.</description>
  </rule>
  <rule id="50105" level="3">
    <if_sid>50100</if_sid>
    <regex>\d+ Connect</regex>
    <description>MySQL: 用户$(dstuser)正在登陆.</description>
    <mitre>
      <id>T1078</id>
    </mitre>
    <group>authentication_success,</group>
  </rule>

  <rule id="50106" level="9">
    <if_sid>50105</if_sid>
    <match>Access denied for user</match>
    <description>MySQL: 用户$(dstuser)登陆失败.</description>
    <group>authentication_failed,</group>
  </rule>

  <rule id="50107" level="10">
    <if_sid>50106</if_sid>
    <match>Access denied for user</match>
    <description>MySQL: 用户ling登陆失败.</description>
    <user>ling</user>
    <group>authentication_failed,</group>
  </rule> 

  <rule id="50108" level="3">
    <if_sid>50100</if_sid>
    <match>select @@version_comment limit 1</match>
    <description>MySQL: 用户$(dstuser)登陆成功.</description>
    <group>authentication_success,mysql_query</group>
  </rule>
  <rule id="50109" level="7" frequency="3" timeframe="60" ignore="30">
    <if_matched_sid>50106</if_matched_sid>
    <different_user/>
    <description>MySQL: 相同IP: $(srcip), 不同User: $(dstuser)正在登陆.</description>
    <group>authentication_success,mysql_query,</group>
  </rule>

  <!-- 新增检测暴力破解 -->
  <rule id="561002" level="12" frequency="5" timeframe="30">
    <if_matched_sid>50106</if_matched_sid>
    <description>多次登录失败,疑似暴力破解,用户名:$(dstuser).</description>
    <group>attack,</group>
  </rule>
</group>

4.重启wazuh,去logtest中做测试

结果为:

13 Connect	Access denied for user 'ling'@'192.168.84.1' (using password: YES)

**Phase 1: Completed pre-decoding.
	full event: '13 Connect	Access denied for user 'ling'@'192.168.84.1' (using password: YES)'

**Phase 2: Completed decoding.
	name: 'mysql_log'
	dstuser: 'ling'
	srcip: '192.168.84.1'

**Phase 3: Completed filtering (rules).
	id: '50107'
	level: '10'
	description: 'MySQL: 用户ling登陆失败.'
	groups: '['mysql_log', 'authentication_failed']'
	firedtimes: '8'
	mail: 'False'
**Alert to be generated.
零星_AagT
关注
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
最新发布
ZL_1618的博客
06-23 866
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
wazuh安装配置及学习笔记
weixin_54704770的博客
08-23 2597
Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载;使用场景广泛包括但不局限于:入侵检测、日志数据分析、完整性检查、漏洞检测配置评估、事故应变、合规、云安全、容器安全等;解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
wazuh介绍
q1415500189的博客
08-18 1514
wazuh搭建
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 1万+
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
MySQL日志管理详解
09-10
MySQL日志管理是数据库系统维护和优化的重要环节,它提供了对服务器运行状态的详细记录,帮助管理员监控数据库健康状况、追踪错误、优化性能以及实现数据恢复。MySQL中有六种主要的日志类型,每种都有其特定的功能和...
mysql日志滚动
09-10
MySQL日志滚动是一种管理日志文件大小的有效策略,它能够防止单个日志文件变得过大,从而避免对系统性能产生负面影响。在描述中提到的两个关键日志是`general_log`和`slow_query_log`。 1. **general_log**:这是一...
mysql日志分析工具mysqlsla
01-15
`mysqlsla之linux安装及使用.docx` 提供了在Linux环境下安装和使用MySQLsla的详细指南,包括安装前提、配置环境、编译安装过程、以及如何使用工具进行日志分析等操作。通常,安装前需要确保系统已安装GCC编译器和...
wazuh-packages:Wazuh-软件包创建工具
02-04
Wazuh软件包 Wazuh是基于开源主机的入侵检测系统,它执行日志分析,文件完整性监视,策略监视,rootkit检测,实时警报,活动响应,漏洞检测器等。 在此存储库中,您可以找到必要的工具来构建用于基于Debian的OS的Wazuh软件包,基于RPM的OS软件包,macOS,用于IBM AIX的RPM软件包,OVA以及用于Kibana和Splunk的应用程序: 有助于 如果您想为我们的项目做出贡献,请随时发送拉取请求。 您还可以通过发送电子邮件至加入我们的用户,或填写此来提问和参与讨论,加入我们的Slack频道。 许可和版权 WAZUH版权所有(C)2015-2020 Wazuh Inc
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 2686
Wazuh的下载安装&功能测试,一篇就够了~
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5468
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
网络安全--wazuh环境配置及漏洞复现
m0_68976043的博客
08-20 4234
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
wazuh整体分析
thinker
09-28 1295
wazuh是什么 Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。 wazuh整体结构 Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供日志采集、预防、检测和响应功能。支持大多数操作系统 Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还
wazuh中的规则编写以及日志分析
qalx9的博客
08-23 1228
Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。Wazuh是一个安全检测、可视化和安全合规开源项目。它最初是OSSEC HIDS的一个分支,后来与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。Wazuh的功能有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 3149
Wazuh功能初步探知
BT利器之wazuh
求大佬师傅带
08-17 890
BT利器之wazuh
深度评测:五大MySQL日志分析工具效能与特性
本文将深入探讨五款常用的MySQL日志分析工具:mysqldumpslow、mysqlsla、myprofiler、mysql-explain-slow-log和mysqllogfilter,以便帮助数据库管理员和开发者优化MySQL性能。首先,我们关注的是mysqldumpslow,这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

零星_AagT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值