OSSEC
关注
分享
扫一扫
jack237
这个作者很懒,什么都没留下…
展开
-
OSSEC与snort的连接实验
OSSEC客户端首先要跟服务端建立连接。OSSEC客户端的配置文件里面要添加 C:\Snort\log\alertfull.ids snort-full 其中,alertfull.ids是Snort产生的日志文件,好像必须为full模式的日志,fast模式实验没推送成功,同时,日志文件名不能有下划线 '_' ,不然也不能推送。snort-full是日原创 2011-10-27 16:54:12 · 2477 阅读 · 2 评论 -
Ossec manager与agent的连接问题
当装有agent的虚拟机还原到之前的snapshot后,无法与manager重新建立连接。这是因为二者之间没有同步了。ossec靠rids文件来同步。解决方法:1、分别停止manager和agent进程。2、在manager端删掉/var/ossec/queue/rids文件夹下对应agent id的文件。3、重启manager和agent连接正常了。。。。原创 2012-04-11 22:19:43 · 2521 阅读 · 0 评论 -
OSSEC的正则表达式语法
正则表达式语法 Regular Expression Syntaxhttp://www.ossec.net/doc/syntax/regex.html目前OSSEC支持两种:OR_Regex or regexOS_Match or sregex1) OR_Regex or regex:C中简单快速的正则表达式库。表达式 Supported expressions:\w翻译 2012-03-07 23:14:48 · 1027 阅读 · 0 评论 -
OSSEC的decoder语法
选项:decoderAttributes:id::name:type:status:decoder.parentdecoder.program_nameAllowed: Any OS_Match/sregex Syntaxdecoder.prematchAllowed: Any OS_Match/sregex Syntaxdecoder.翻译 2012-03-08 08:51:52 · 1014 阅读 · 0 评论 -
OSSEC直接向GMAIL发送alert的配制方法
按照mannul的介绍,直接在ossec.conf中配置如下:yesjack.23783@gmail.comsmtp.gmail.comossec@jack-ubuntu-desktop11可是gmail收不到任何alert邮件。按照josay的方法,将alert以邮件发给本地root,http://blog.youkuaiyun.com/jo_say/arti原创 2012-03-07 22:57:21 · 2480 阅读 · 0 评论 -
ubuntu下安装卸载软件
方法一:可以用终端安装或卸载软件。方法二:用系统自带的“新立得软件包管理器”在终端里安装软件 apt-get install softname1 softname2 softname3……卸载软件 apt-get remove softname1 softname2 softname3……卸载并清除配置 apt-get remove --purge softname1更转载 2012-03-07 16:31:07 · 847 阅读 · 0 评论 -
OSSEC的rules语法
Rules的语法http://www.ossec.net/doc/syntax/head_rules.htmlrule Defines a rule level: 0-16 id: 100-99999, 100000-109999 are assigned to user maxsize: 指定event的最大长度, 1-99999 frequenc翻译 2012-03-07 23:13:17 · 2488 阅读 · 0 评论 -
OSSEC manual学习
1、Syscheck Integrity checking is an essential part of intrusion detection. 执行周期 periodically: scans the system every few hours(by default 22h for ubuntu and 20h for windows). 数据存放位置 dat原创 2012-02-27 22:20:12 · 1803 阅读 · 0 评论 -
OSSEC基础学习
Understanding OSSEC●OSSEC two working models ➔Local (useful when you have only one system to monitor) ➔Agent/Server (recommended!)●By default installed at /var/ossec●Main configuration f原创 2012-03-07 11:02:16 · 1707 阅读 · 0 评论 -
syslog 格式学习
完整的syslog消息由3部分组成,分 别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分,而HEADER可能没有。下面是一个syslog消息:Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.其中“”是PRI部分,“Oct 9 22:33:20 hlfedora”是HEADER原创 2012-03-06 16:08:09 · 4461 阅读 · 0 评论 -
Linux下安装ossec
安装OSSEC小结:linux_server+xp_agent 安装过程中报编译错误,比如"Error Making analysisd"等,此时要看清报错的位置及原因,定位问题的根源。我的这个"Error Making analysisd"是因为analysisd文件夹里面的某个configure文件没有权限执行(permission denied)所以提升对应文件的权限即可su转载 2012-02-21 10:53:14 · 4386 阅读 · 0 评论