OSSEC HIDS -监视追加文件

最新推荐文章于 2025-11-14 08:17:03 发布
最新推荐文章于 2025-11-14 08:17:03 发布 · 210 阅读 · 1

本文介绍如何通过修改OSSEC配置文件实现对系统中新添加文件的监控与告警功能。具体步骤包括在ossec.conf中启用alert_new_files选项,并在local_rules.xml中添加规则以覆盖默认设置。
1.在server 和 agent 的ossec.conf中,都追加这样一条:
<alert_new_files>yes</alert_new_files>
例如:

<directories
check_all="yes">/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/loca<wbr>l/sbin&lt;/directories&gt; <br> &lt;<b style="color: black; background-color: rgb(255, 255, 102);">alert_new_files</b>&gt;yes&lt;/<b style="color: black; background-color: rgb(255, 255, 102);">alert_new_files</b>&gt; <br></wbr>

...
2.然后,在local_rules.xml 中追加如下配置:


<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
然后再重启server 和agent上的ossec,生效。

解释:
上面这条规则的含义是,覆盖ossec_rules.xml中的规则554。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
因为在ossec的规则554中,默认是不打开对追加文件的监视和提醒的。


iteye_21199
关注
「网安学习」IDS事件分析工具调研
鱼的博客
01-26 970
IDS事件分析工具 几个月前写的,由于内存、系统限制,并未采用本文中介绍的这几款IDS分析工具,而是使用原生ELK+自己搭建Suricata前端显示的方式。 名称 要求 工作方式/构成图 备注 PFelk (1)Ubuntu Server v18.04+ or Debian Server 9+ (stretch and buster are tested)(现在服务器用的是16.04的稳定版本) (3) Java v11 LTS and Elastic Stack v7.9.2 (4)Min
开源HIDS OSSEC部署与扩展使用(安检)
3569
01-24 5230
0x01 概述 from http://vinc.top/2017/12/26/%e3%80%90%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e5%ae%9e%e6%88%98%e3%80%91%e5%bc%80%e6%ba%90hids-ossec%e9%83%a8%e7%bd%b2%e4%b8%8e%e6%89%a9%e5%b1%95%e4%bd%bf%e7
OSSEC HIDS规则系统深度解析:从分类到实战应用
最新发布
gitblog_00874的博客
11-14 420
OSSEC HIDS作为一款开源的基于主机的入侵检测系统,其核心功能之一就是通过精心设计的规则系统来检测和分析系统事件。规则系统是OSSEC的"大脑",它决定了哪些事件需要关注、如何响应以及如何关联不同事件。 ## 二、规则分类体系详解 OSSEC采用了一套精细的16级分类体系(0-15),从最低优先级到最高安全威胁,形成了一套完整的事件评估框架。理解这些分类级别对于有效配置和使用OSSEC
企业安全实战】开源HIDS OSSEC部署与扩展使用
阳光灿烂的日子的博客
03-26 1882
0x01 概述 关于HIDS,并不是一个新鲜的话题,规模较大的企业都会选择自研,而如果你刚刚接手一个公司的网络安全,人手相对不足,那么OSSEC能帮助你安全建设初期快速搭建一套安全系统,后期如果遇到瓶颈也可以考虑自研去解决一些问题。 0x02 主要功能介绍 OSSEC的主要功能包括日志分析、文件完整性检测、Rootkit检测以及联动配置,另外你也可以将自己的其他监控项集成到OSSEC中。 ...
ossec-hids-2.8.2.zip
06-22
在**ossec-hids-2.8.2**这个压缩包中,您将找到OSSEC的源代码、安装脚本、配置文件以及文档等资源。安装过程通常包括解压文件、编译源代码、配置系统参数和启动服务。安装完成后,需要根据您的环境配置OSSEC的规则和...
ossec-debian:OSSEC HIDS Debian软件包
05-12
这些是用于创建OSSEC-HIDS 2.8版debian软件包的文件,这些文件包含在ossec.net网站和WAZUH存储库中。 您可以在以下位置找到这些软件包: 或直接在以下: : 这些文件可以构建两个不同的程序包: ossec-hids:...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
"ossec-hids-3.3.0" 这个子文件名通常包含OSSEC的源代码、配置文件、文档、脚本等所有必要的组成部分,如: 1. **源代码**:实现OSSEC核心功能和模块的C语言代码。 2. **配置文件**:预设的服务器和代理配置,用户...
ossec-hids-3.6.0 源码
03-28
**ossec-hids-3.6.0 源码详解** OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的...
wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz --no-check-certificate centos7
11-05
4. **验证下载**:下载完成后,可以使用 `ls` 命令查看当前目录下是否存在 `ossec-hids-2.8.3.tar.gz` 文件。 ### 常见问题及解决方法 1. **网络问题**:如果遇到网络连接失败或者超时的问题,首先检查网络连接是否...
ossec2.8.1
02-22
 OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 2.8.1版本
windows 资源监视
weixin_30772105的博客
04-20 152
windows的资源监视器有很强大的资源监视能力 win+r输入resmon.exe即可打开 转载于:https://www.cnblogs.com/zhengwenqiang/p/6804566.html
实时监控单个追加文件
zty19940628的博客
05-19 333
# Name the components on this agent a2.sources = r2 a2.sinks = k2 a2.channels = c2 # Describe/configure the source a2.sources.r2.type = exec a2.sources.r2.command = tail -F /opt/module/datas/A.log a2.sources.r2.shell = /bin/bash -c # Describe the sink a2
OSSEC - Agent端查看命令
dieman0446的博客
12-28 370
命令:/opt/ossec/bin/agent_control -h注释:/opt/为安装目录 1 [root@redhat rules]# /opt/ossec/bin/agent_control -h 2 3 OSSEC HIDS agent_control: Control remote agents. 4 Available options: 5 ...
OSSEC文件监控(SYSCHECK)
weixin_33895516的博客
03-26 593
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC文档——文件监控
c1052981766的专栏
02-28 1476
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/file-log-monitoring.html文件监控 概述 OSSEC有一个名为 ossec-logcollector的进程,它可以监视日志文件的新事件。当新的日志消息到达时,它将它们转发到其他进程进行分析或传输到一个OSSEC服务器。 配置项 ossec-...
Ossec常用命令
dieman0446的博客
07-14 211
启动并查看httpd服务 systemctl start httpd systemctl status httpd.service 启动并查看mysql服务 systemctl start mariadb systemctl status mariadb.service 启动并查看sendmail服务 systemct...
OSSEC监控新建文件时报警。
weixin_34355715的博客
09-21 214
from:http://www.immutablesecurity.com/index.php/2009/10/26/week-of-ossec-day-2-detecting-new-files/ Even so, getting alerts on new files can be useful. Here’s how you do it: 1. Add to...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值