日志分析与HIDS系统之Wazuh中配置syslog

于 2025-03-20 10:52:42 发布
阅读量927 收藏 29
点赞数 9
分类专栏: 日志分析与HIDS系统 安全防御与运营保障 渗透测试与护网蓝队 文章标签: 安全 安全防御与运营保障 日志分析与HIDS系统 运维 linux HIDS与syslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146391040
版权

文章目录

Wazuh中配置syslog

本次配置实验需要使用三台设备,分别是:

192.168.230.188 :Wazuh 服务器 rsyslod 客户端

192.168.230.147 :rsyslod 客户端

192.168.230.112 :rsyslog 服务器

一、wazuh中配置syslog

首先,续上文 《Linux 配置 rsyslog 日志》的配置

第一步:192.168.230.188 开启 rsyslog 服务,并且 wazuh 服务器也装在 192.168.230.188 上,并且 rsysload 服务配置如下:

image-20250212153358577

image-20250212153434751

表示,接收来自 ip 地址非127.0.0.1 的系统日志 并存储在 /var/log 目录下

第二步:192.168.230.147 主机作为 rsyslog 客户端 的 rsyslog 配置如下:

image-20250212153539474

说白了就是将 192.168.230.147 的日志信息去拿不发送给 188 服务器

此时,我们可以在 192.168.230.188 服务器上看到来自 192.168.230.147 的日志信息

image-20250212153934923

第三步:在 192.168.230.188 上使用 wazuh 监听 来自 非 127.0.0.1 IP地址 的主机系统日志

1、监听rsyslog文件

在ossec.conf文件中,可以配置监听上述收到的日志文件,如:

<localfile>    
    <log_format>syslog</log_format>    
    <location>/var/log/host_*.log</location>
</localfile>

image-20250212153736802

确保在wazuh上启动了wazuh-manager,可以直观地在alerts.log看到相应的来自 192.168.230.147.log的预警信息,类似于以下内容。

重启 192.168.230.188 的 wazuh 服务器之后,我们来远程 ssh 登录 192.168.230.147 ,然后查看 192.168.230.188 的 alerts.log 文件

image-20250212155128059

2、Wazuh内置syslog进程

第一个实验成功之后,我们关闭 192.168.230.188 的 rsyslog 服务器,让他不接收来自 192.168.230.147 的日志信息。

但是,我们直接使用 wazuh 来代替 rsyslog 接收192.168.230.147 的日志信息,说白了,就是配置 wazuh 自带的 rsyslog 服务

编辑ossec.conf,直接定义syslog的端口,远程日志直接发送给wazuh而不再需要通过rsyslog进程和日志文件中转

<remote>    
    <connection>syslog</connection>    
    <port>514</port>    
    <protocol>udp</protocol>    
    <allowed-ips>192.168.230.0/24</allowed-ips>
</remote>

  • 首先,关闭 192.168.230.188 的 rsyslog.conf 配置文件中的所有配置,也就是恢复原来的摸样

    image-20250212160522563

    同时,删掉 192.168.230.188 的 /var/log 目录下的 host_* 文件

  • 其次,配置 192.168.230.188 的 wazuh 的ossec.conf 配置文件

    image-20250212160741286

    在这里,只针对 192.168.230.0 网段的 ip 地址将日志发过来

  • 192.168.230.147 依旧保持 rsyslog 的配置,让他给 192.168.230.188 的 514 端口发送日志文件

    1. 168.230.188重启 wazuh

ssh 远程登录 192.168.230.147 进行测试

同时在192.168.230.188服务器上 tail -f /var/ossec/logs/alerts/alerts.log 文件

image-20250212161409925

发现确实 192.168.230.188 预警了 192.168.230.147 的日志信息

  • 但是,这种情况,如果没有高级别风险的日志,192.168.230.188 就会丢弃 192.168.230.147 的日志信息
3、将wazuh服务器端syslog发送给远程 日志服务器

将192.168.230.188 的 wazuh的预警日志发送给192.168.230.112 如果日志级别超过9级,再发送给 192.168.230.225.

<ossec_config>  
    <syslog_output>    
        <level>9</level>    
        <server>192.168.230.225</server>    
        <port>514</port>  
    </syslog_output>  
    <syslog_output>    
        <server>192.168.230.112</server>  
    </syslog_output>
</ossec_config>

或
我们在这里使用下面的这个
<ossec_config>  
    <syslog_output>    
        <level>5</level>    
        <server>192.168.230.112</server>    
        <port>514</port>  
    </syslog_output> 
</ossec_config>
表示,当日志审计等级超过 7 级 之后,便会将日志发送给 192.168.230.112
注意 ossec_config 标签,默认 ossec.conf 文件是已经有的,我们只需要将其中的内容包裹在里面就好了

image-20250212164944278

(1)在192.168.230.112 远程日志服务器上对rsyslog.conf做如下配置。

$ModLoad imudp
$UDPServerRun 514

#### Added By ymqyyds ####
$template MyLogFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate MyLogFormat

$template RemoteLogs,"/var/log/host_%fromhost-ip%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
##########################

image-20250212161901650

image-20250212164133920

(2)有alert产生时,收到的日志信息如下:

远程ssh登录 192.168.230.147 ,在 192.168.230.147 的 /var/log/secure 文件中可以看到日志

image-20250212165745506

在 192.168.230.188 的 wazuh 服务器中 可以看到 192.168.230.147 的日志信息

image-20250212165820610

此时 192.168.230.112 中便产生了 来自 192.168.230.188 的预警信息日志

image-20250212170018128

8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh
m0_65842464的博客
01-31 1929
攻击者对服务器存在着各种威胁行为,作为安全人员,可以在受到攻击前提前部署好蜜罐-Hfish系统HIDS-Wazuh系统,又或是HlDS-Elkeid系统,诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵,安全人员可以了解攻击者的行为和攻击手段,为溯源反制提供依据。
wazuh相关
captain_miaomiao的博客
08-23 191
主动响应的主要作用是检测到危险或者是告警之后,在一定条件下(比如告警等级大于7或者触发了某条或多条规则),可以做出一系列反应来禁止入侵者访问或登录你的系统主动响应的脚本在/var/ossec/active-response/bin目录下。
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
5.1网安学习第五阶段第一周回顾(个人学习记录使用)
lovely2610的博客
05-21 534
问题:有一种日志,形式如下:需要wazuh对该种类型的日志,产生预警信息步骤1、在主配置文件中,开启自定义配置-- User-defined ruleset 用户定义的规则集 --> < decoder_dir > etc/decoders </ decoder_dir > 解码器的位置 < rule_dir > etc/rules </ rule_dir > 规则的位置 </ ruleset >
网神SecFox日志收集分析系统V5.0_安装部署手册【V20.5.7】-软件版.pdf
02-02
网神SecFox日志收集分析系统V5.0_安装部署手册【V20.5.7】-软件版
等保2.0 测评 凝思操作系统安全配置规范
2401_84434570的博客
07-16 4462
1.1适用范围本配置规范适用于凝思操作系统,主要涉及LINUX操作系统安全配置方面的基本要求,用于指导LINUX操作系统安全加固工作,落实信息安全等级保护等保三级系统操作系统安全配置,为主机安全配置核查提供依据。1.2实施策略Ip:结合网络和信息系统建设情况,考虑安全配置项影响的范围,根据以往工作经验,提出如下安全项目实施策略:序号配置类别配置项名称实施策略1身份鉴别口令复杂度策略合规2身份鉴别登录失败账户锁定策略合规3身份鉴别口令最长生存期策略合规4身份鉴别。
OSSEC HIDS:全面的日志分析入侵检测系统
SEM/SIM解决方案专注于收集、分析和报告安全事件数据,而OSSEC的集中式日志管理和复杂的分析引擎正好之匹配。ISP、大学和数据中心通常需要这样的能力来监控和分析大量日志数据,确保网络安全系统正常运行。 ...
系统行为分析:HIDS异常检测的关键策略未来趋势
本文深入探讨了基于系统行为分析的异常检测技术在网络安全领域的关键作用,特别关注于HIDS(主机入侵检测系统)中的两种核心策略:静态行为分析和动态行为分析。静态行为分析技术主要依赖于预先定义的正常行为模式,...
web日志的入侵检测,Apache日志恶意行为检测系统
07-23
日志分析 密码修改 导出报告 其他功能 退出系统 数据库设计说明logvulnerabilityinformation admin管理员表 id userName pwd vulnerabilityInformation漏洞信息表 id(漏 xss漏洞类型: 假设读者已经明白了XSS的...
Wazuh-Docker容器:安全监控日志分析解决方案
9. 安全合规性:Wazuh-Docker容器集成了多种安全功能,例如安全监测、系统日志分析、事件响应、入侵检测等,旨在帮助遵守各种安全标准和合规性要求,如PCI DSS(支付卡行业数据安全标准)、OSSEC、OPENSAPC等。...
开源XDR-SIEM一体化平台 Wazuh (1)基础架构
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-22 1609
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一,它负责索引和存储由Wazuh服务器生成的警报,并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群,以实现可扩展性和高可用性。Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键(或字段名、属性)其对应的值相关联,这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。索引是相关文档的集合。
【主机入侵检测】开源安全平台WazuhWazuh Server
最新发布
不断学习,不断进步。
08-28 3228
Wazuh是一个开源的、免费的企业级安全监控解决方案,专注于威胁检测、完整性监控、事件响应和合规性。它由部署在受监控系统的端点安全代理和管理服务器组成,服务器收集并分析代理收集的数据。Wazuh支持多平台,包括Windows、Linux、macOS、HP-UX、Solaris和AIX,能够跨场所、虚拟化、容器化和基于云的环境保护工作负载 。
wazuh日志审计--定制规则
Devour_的博客
10-21 3250
日志审计--定制规则 目录布局 规则集文件夹结构如下所示: 在接收到agent传来的日志后,manager会根据/var/ossec/ruleset/decoders里面的各种规则对日志进行处理,提取到了指定字段的值之后再根据/var/ossec/ruleset/rules里面的各种规则进行匹配,告警日志输出到/var/ossec/logs/alerts/alerts.json,logstash再将其解析后传输到elasticsearch上面。 更新规则集 每周运行update_ruleset
Wazuh: 一款超强大的威胁预防、检测安全平台,支持虚拟化、容器化和云环境保护...
easylife206的专栏
08-08 1854
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 LinuxWazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视...
Wazuh自定义规则
gehongzhou的专栏
11-18 2442
Wazuh会产生很多不必要的报警信息,通过Wazuh-manager端的/var/ossec/etc/rules/local_rules.xml可以增加一些规则来改变默认规则的行为,从而过滤不希望看到的告警。 <!-- Local rules --> <!-- Modify it at your will. --> <!-- Copyright (C) 2015-...
wazuh 原理分析之Syscollector 系统信息收集工作流程
guoguangwu的专栏
11-07 3642
wazuh是从ossec-hids衍生过来的,部分架构设计有所不同, 多进程多线程模式。本机的进程之间通过Unix domain socket 进行通信的。 今天简单介绍一下数据搜集的相关功能的实现(Linux系统)。 注意由于篇幅所限, 在函数中我们只列出相关代码。 可以先看一下官网的架构设计 https://documentation.wazuh.com/3.9/getting-...
日志分析系列之平台实现
bloodzer0
03-04 1286
本系列故事纯属虚构,如有雷同实属巧合 平台实现前的说明 小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立即开始做,争取下一次能及时发现攻击并且追踪攻击者。于是小B开始分析了市面上商业开源的日志分析平台架构,大家都神似如下图: 知道了架构如何,接下来的关键就是每层之间选择什么样的产品了。关于如何选择,小B推荐了几个方面: 已有架构:避免基础能力的重复,使用目前IT基础框架中已有的东西。...
syslog工具_10大开源安全信息和事件管理SIEM工具
weixin_39552472的博客
12-07 1386
企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。但是,SIEM也会给你的企业IT部门带来严重问题。通常,SIEM的部署和维护成本高昂;其解决方案在资源和时间方面都需要运营成本。此外,SIEM在部署时需要不断进...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值