OSSEC文档——CDB从内部规则中查找查询

最新推荐文章于 2021-10-07 16:08:09 发布
翻译 最新推荐文章于 2021-10-07 16:08:09 发布 · 556 阅读 · 0

本文介绍了如何在OSSEC中使用CDB进行内部规则查询,包括递归日志检查、服务器用户列表验证及IP地址匹配等操作。文章详细解释了各种查询语法的应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html


CDB从内部规则中查找查询
运行CDBzai OSSEC内部规则中查询任意字段
用例:
使用递归日志来检查www.malwaredomains.com的可疑域列表
服务器批准用户列表
IP地址查找——在ossec规则中有大量可疑或已知的错误IP地址


语法列表
规则
规则将使用下面的语法来查找一个CDB数据库。
正键匹配
<list field="program_name" lookup="match_key">rules/records</list>
反键匹配
<list field="program_name" lookup="not_match_key">rules/records</list>
键值匹配
<list field="program_name" lookup="match_key_value" check_value="^reject">rules/records</list>
IP匹配
<list field="srcip" lookup="address_match_key">rules/records</list>
<list field="srcip" lookup="not_address_match_key">rules/records</list>
<list field="srcip" lookup="address_match_key_value" check_value="^reject">rules/records</list>
ossec的新功能--预编译规则之一:ossec规则
daosecurity的专栏
03-05 2459
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec规则定义。1. ossec规则 ossec规则是XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的
OSSEC功能进阶学习——OSSEC+ELK联动
zhalang8324的博客
08-11 873
decoder和rules学习 参考链接:https://www.freebuf.com/articles/system/6157.html 以及大大的新书:互联网安全建设从0到1 首先第一个坑! 需要修改的decoder.xml是在/var/ossec/etc这个路径下的。。。ossec-logtest是/var/ossec/bin这个路径下的。。。 第二个坑,如下设置后,logtest依旧无法按照decode正常解析内容: <decoder name="logtest"> &l
SCDB数据库分离文件
12-20
SCDB数据库分离文件,最大最全的文件,快来下载吧
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 812
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
OSSEC文件监控(SYSCHECK)
weixin_33895516的博客
03-26 568
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC的rules语法
可木的专栏
03-07 2549
Rules的语法 http://www.ossec.net/doc/syntax/head_rules.html rule Defines a rule     level: 0-16     id: 100-99999, 100000-109999 are assigned to user     maxsize: 指定event的最大长度, 1-99999     frequenc
ossec-docs:OSSEC文档
05-03
**OSSEC文档** OSSEC(Open Source Security Information Management Event Correlation)是一款开源的、实时的文件完整性检查系统,用于提供主机入侵检测和日志聚合功能。这个“ossec-docs”文档集合是关于如何...
ossec_wui web管理
02-22
1. **安装ossec**:首先要在目标系统上安装ossec,遵循官方文档的安装指南,确保所有组件正确配置并运行。 2. **安装ossec-wui**:下载ossec-wui-0.9的压缩包,解压后按照readme文件的指示进行安装,通常包括将文件...
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ossec-debian:OSSEC HIDS Debian软件包
05-12
这些是用于创建OSSEC-HIDS 2.8版debian软件包的文件,这些文件包含在ossec.net网站和WAZUH存储库中。 您可以在以下位置找到这些软件包: 或直接在以下: : 这些文件可以构建两个不同的程序包: ossec-hids:...
开源入侵检测系统OSSEC的搭建及使用
东方欲晓的晓东的博客
07-08 4811
环境centos7 官网 http://www.ossec.net/ Linux下载地址 https://github.com/ossec/ossechids/archive/2.9.4.tar.gz wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz tar -xzvf 2.9.4.tar.gz ...
OSSEC - Agent端查看命令
dieman0446的博客
12-28 359
命令:/opt/ossec/bin/agent_control -h注释:/opt/为安装目录 1 [root@redhat rules]# /opt/ossec/bin/agent_control -h 2 3 OSSEC HIDS agent_control: Control remote agents. 4 Available options: 5 ...
OSSEC文档——完整性检查
c1052981766的专栏
02-28 2620
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/syscheck/index.html完整性检查 Syscheck是OSSEC内部完整性检查过程的名称。它定期运行以检查是否有任何配置的文件(或Windows上的注册表条目)发生了变化。 为什么完整性检查? 有多种类型的攻击和许多攻击向量,但是它们都有一种独特之处:它们留下痕迹,并且总是...
开源EDR(OSSEC)基础篇- 03 - 目录结构与实用工具
weixin_34187862的博客
01-18 2618
前言 上一篇我们着重介绍了OSSEC的部署安装,而本篇主要想挖掘的是OSSEC程序目录放置的各种实用的工具和文件,了解他们是干什么的有助于更深的了解OSSEC的工作机制。 1. 文件剖析 1.1 根目录 程序目录默认安装在 /var/ossec ,对核心子目录重点展示 1.2 子目录 /bin 此目录主要存放OSSEC的可执行程序文件 1.2.1 核...
wazuh-analysisd 事件分析进程
thinker
10-07 610
wazuh-analysisd 事件分析进程 入口函数 #ifndef TESTRULE #ifdef WAZUH_UNIT_TESTING __attribute((weak)) #endif int main(int argc, char **argv) #else __attribute__((noreturn)) int main_analysisd(int argc, char **argv) #endif { int c = 0, m_queue = 0, test_config
电动汽车数据集:2025年3K+记录-EV Electrical Vehicles Dataset
08-19
电动汽车数据集:2025年3K+记录 真实电动汽车数据:特斯拉、宝马、日产车型,含2025年电池规格和销售数据 关于数据集 电动汽车数据集 这个合成数据集包含许多品牌和年份的电动汽车和插电式车型的记录,捕捉技术规格、性能、定价、制造来源、销售和安全相关属性。每一行代表由vehicle_ID标识的唯一车辆列表。 关键特性 覆盖范围:全球制造商和车型组合,包括纯电动汽车和插电式混合动力汽车。 范围:电池化学成分、容量、续航里程、充电标准和速度、价格、产地、自主水平、排放、安全等级、销售和保修。 时间跨度:模型跨度多年(包括传统和即将推出的)。 数据质量说明: 某些行可能缺少某些字段(空白)。 几个分类字段包含不同的、特定于供应商的值(例如,Charging_Type、Battery_Type)。 各列中的单位混合在一起;注意kWh、km、hr、USD、g/km和额定值。 列 列类型描述示例 Vehicle_ID整数每个车辆记录的唯一标识符。1 制造商分类汽车品牌或OEM。特斯拉 型号类别特定型号名称/变体。型号Y 与记录关联的年份整数模型。2024 电池_类型分类使用的电池化学/技术。磷酸铁锂 Battery_Capacity_kWh浮充电池标称容量,单位为千瓦时。75.0 Range_km整数表示充满电后的行驶里程(公里)。505 充电类型主要充电接口或功能。CCS、NACS、CHAdeMO、DCFC、V2G、V2H、V2L Charge_Time_hr浮动充电的大致时间(小时),上下文因充电方法而异。7.5 价格_USD浮动参考车辆价格(美元).85000.00 颜色类别主要外观颜色或饰面。午夜黑 制造国_制造类别车辆制造/组装的国家。美国 Autonomous_Level浮点自动化能力级别(例如0-5),可能包括子级别的小
基于单片机的温度监测系统设计(51+1602+18B20+BZ+KEY3) 0448
最新发布
08-19
包括:源程序工程文件、Proteus仿真工程文件、电路原理图文件、配套技术手册、论文资料等 1、采用51单片机作为主控单元芯片; 2、采用DS18B20传感器检测温度; 3、采用LCD1602显示实时温度及报警上下限; 4、温度超限时,蜂鸣器将进行报警; 5、可通过按键设置报警上下限;
Ossec-Sysmon规则集:强化恶意软件检测能力
文件名ossec-sysmon-master表明这是一个完整的工具包或项目的主文件夹,可能包含了用于集成Sysmon到Ossec中的所有规则文件、配置文件以及可能的文档说明。通过这个工具包,安全团队可以方便地将Sysmon的日志数据集成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值