自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

入侵檢測系統(tǒng)ossec配置文件詳解

作者:Rozero
安全 網(wǎng)站安全
OSSEC是一款開源的多平臺的入侵檢測系統(tǒng),可以運行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統(tǒng)中。包括了日志分析,全面檢測,root-kit檢測。

OSSEC是一款開源的多平臺的入侵檢測系統(tǒng),可以運行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統(tǒng)中。包括了日志分析,全面檢測,root-kit檢測。

在unix,linux或者bsd上安裝ossec hids,默認安裝路徑是/var/ossec,在啟動過程中ossec hids會將目錄chroot,并且配置文件和規(guī)則也從該目錄讀取,下邊科普下,ossec下目錄結(jié)構(gòu)及各個模塊都有啥用:

#核心配置文件:

ossec.conf #ossec hids主要配置文件

internal_options.conf: #額外配置選項文件

decoders.xml: #文件解碼器,各種規(guī)則都在這里寫來調(diào)用

client.keys: #用于客戶端與服務(wù)器認證通信

/var/ossec/bin #目錄包含ossec hids使用的二進制文件。

/var/ossec/etc #目錄包含所有ossec hids使用的配置文件

#日志文件:

/var/ossec/logs: #包含有關(guān)ossec hids所有的日志目錄

ossec.log: #包含osse hids所有日志(error,warn,info和其他)

alerts/alerts.log #ossec hids報警日志

active-responses.log #ossec hids響應(yīng)日志

#隊列:

/var/ossec/queue #目錄包含ossec hids隊列文件

agent-info #目錄包含操作系統(tǒng)版本、ossec hids版本等信息

syscheck #目錄包含每個agent的數(shù)據(jù)校驗日志

rootcheck #目錄包含每個agent,rootkit檢查數(shù)據(jù)和監(jiān)控規(guī)則。

rids #目錄包含agent ids信息

#規(guī)則

/var/log/rules #目錄包含所有osse hids規(guī)則

/var/log/stats #目錄包含每秒統(tǒng)計數(shù)據(jù)等文件

了解ossec hids配置文件: 我們將開始了解如何在unix,linux和bsd上本地/服務(wù)器進行配置。ossec hids主要配置文件名叫ossec.conf,該文件使用xml表記語言編寫,ossec hids配置文件選擇位于中,該配置文件包含如下段落:

配置報警級別及收集所有日志: 每個報警都有一個嚴重級別報警等級,ossec的等級是這樣分配的,0到15,15是最高等級,0是最低等級,默認情況下每個警報是從1到15,在ossec hids配置文件選項中報警級別7以上的都會發(fā)送郵件報警,如果修改ossec.conf中的報警配置選項,可以修改如下配置:

上邊的配置文件,只記錄2以上的報警級別日志,并且報警級別高于8以上的報警都會發(fā)送郵件。

收集日志:

除了記錄每一條報警和每一個事件記錄外你可以配置ossec hids接收所有日志,配置文件如下:

配置郵件:

默認情況下,在安裝ossec hids server的時候會提示你配置郵件發(fā)信,但這個發(fā)信里默認只寫入一條收件人,假如我有多個收件人是不是沒辦法了呢?答案當(dāng)然不是,ossec hids里可以這樣配置多個收件人,這里以gmail為例子:

默認的配置文件是這樣,如添加其他人可以這樣,lost@gmail.com即可添加lost這個用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec  hids也可以關(guān)閉掉郵件選項,設(shè)置配置如下:

 

也可以讓某個郵箱只接受特定級別的郵件,配置文件可以這樣寫:

安全選項配置:

眾所周知,ossec收集日志的服務(wù)也是采用syslog,只不過它會開啟個1514的udp端口來接收數(shù)據(jù),這其實和514端口并無差別不是嗎,但為了安全考慮,需要允許指定的機器來連接我們的syslog服務(wù),配置文件可以這樣寫:

 

上邊的意思就是允許這個網(wǎng)段來連接syslog服務(wù)接收數(shù)據(jù)。 監(jiān)控文件變化: ossec還可以做為文件監(jiān)控來監(jiān)視網(wǎng)站目錄下的變動情況,ossec檢測文件的時候分為幾個部分:check_all、check_sum、check_size、check_onwer、check_group、check_perm,如果是檢測網(wǎng)站變動的話,可以在ossec.conf里寫入如下配置:

 

上邊的配置是檢查網(wǎng)站的任何變動,包括文件大小發(fā)生變化,權(quán)限變化等。

責(zé)任編輯:藍雨淚 來源: FreebuF
入侵檢測系統(tǒng)ossec
相關(guān)推薦

2010-12-24 10:53:35

OSSEC HIDS開源

2011-03-02 13:12:37

vsftpd配置

2009-07-09 15:55:18

WebWork配置文件

2011-10-28 16:03:06

2011-11-21 09:57:47

2012-10-10 11:36:02

2010-08-26 09:12:01

2010-06-17 16:23:32

Grub2 配置

2010-08-25 14:58:37

2009-08-31 23:12:31

2009-06-05 10:35:02

struts.prop配置文件

2009-08-13 09:58:55

C#讀取配置文件

2010-11-12 09:44:59

Cassandra配置

2020-04-09 13:23:29

Nginx配置文件模板

2012-11-07 15:57:34

OSSECMYSQL

2010-12-09 10:21:26

Cassandra

2024-04-25 12:35:14

JSONC#開發(fā)

2009-09-04 10:21:00

2010-09-08 14:23:14

測試Snort

2015-01-27 10:18:38

入侵檢測系統(tǒng)AIDECentOS
點贊
收藏

51CTO技術(shù)棧公眾號