您好,登錄后才能下訂單哦!
Ossec簡(jiǎn)單介紹
Ossec是一款非常強(qiáng)的主機(jī)IDS(hids),它可以幫我們分析日志,檢查文件完整性,檢查rootkit并且能夠?qū)崟r(shí)報(bào)警和主動(dòng)響應(yīng)。另外ossec幾乎支持所有主流的操作系統(tǒng),因?yàn)樗情_(kāi)源的,所以我們可以再ossec上面做二次開(kāi)發(fā)跟我們已有的一些系統(tǒng)進(jìn)行整合,比如zabbix,cacti。它的工作模式分為兩種:C/S模式和local模式。local模式可以單獨(dú)安裝到一臺(tái)機(jī)器上。本文將介紹C/S模式,這種模式在生產(chǎn)環(huán)境中最為適用。
Ossec的優(yōu)點(diǎn)
開(kāi)源
跨平臺(tái)
支持無(wú)客戶端模式
合規(guī)性需求
實(shí)時(shí)的和可配置的警報(bào)
集中管理
等等
Ossec的主要功能
日志分析
文件完整性檢查(UNIX和Windows)
rootkit檢測(cè)
Windows注冊(cè)表監(jiān)測(cè)
基于UNIX的rootkit檢測(cè)
實(shí)時(shí)報(bào)警和主動(dòng)響應(yīng)
檢查磁盤空間及系統(tǒng)負(fù)載
檢測(cè)主機(jī)端口變化
支持nmap檢查端口開(kāi)放及變更情況
可以檢測(cè)域名變化情況
等等
默認(rèn)安裝在 /var/ossec/
主配置文件在 /var/ossec/etc/ossec.conf
×××存儲(chǔ)在/var/ossec/etc/decoders.xml
二進(jìn)制文件 /var/ossec/bin/
所有的規(guī)則都在/var/ossec/rules/*.xml
警報(bào)存儲(chǔ)在 /var/ossec/logs/alerts.log
由多個(gè)進(jìn)程控制(所有控制通過(guò)ossec-control)
Ossec Server服務(wù)器的進(jìn)程
[root@localhost ~]# ps -ef |grep ossec
ossecm 5505 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-dbd
ossecm 5510 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-maild
root 5512 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-execd
ossec 5518 1 0 13:21 ? 00:00:12 /var/ossec/bin/ossec-analysisd
root 5522 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-logcollector
ossecr 5526 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-remoted
ossecr 5527 1 0 13:21 ? 00:00:01 /var/ossec/bin/ossec-remoted
root 5534 1 0 13:21 ? 00:00:18 /var/ossec/bin/ossec-syscheckd
ossec 5536 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-monitord
[root@localhost ~]# /var/ossec/bin/ossec-control status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...
ossec-dbd is running...
每個(gè)進(jìn)程的任務(wù)
Analysisd – 做所有的分析(主程序)
Remoted – 從代理接收遠(yuǎn)程日志
Logcollector –讀取日志文件(syslog,平面文件,Windows事件日志,IIS,等)
Agentd –轉(zhuǎn)發(fā)日志服務(wù)器
Maild – 發(fā)送電子郵件警報(bào)
Execd – 執(zhí)行積極的反應(yīng)
Monitord - 監(jiān)視代理狀態(tài)下,壓縮和標(biāo)志的日志文件,等
ossec-control 管理啟動(dòng)和停止他們的所有
ossec local:普通日志故障分析流程
日志采集由ossec-logcollector做
分析和解碼是通過(guò) ossec-analysisd 做
報(bào)警是通過(guò)ossec-maild 做
積極響應(yīng)由 ossec-execd 做
client/server:客戶/服務(wù)器體系結(jié)構(gòu)的通用日志分析流程
日志采集由ossec-logcollector做
分析和解碼是通過(guò) ossec-analysisd 做
報(bào)警是通過(guò)ossec-maild 做
積極響應(yīng)由 ossec-execd 做
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。