翻譯:
檔案監控
概述ossec有乙個名為 ossec-logcollector的程序,它可以監視日誌檔案的新事件。當新的日誌訊息到達時,它將它們**到其他程序進行分析或傳輸到乙個ossec伺服器。
配置項ossec-logcollector的配置在/var/ossec/etc/ossec.conf檔案中元素中.
配置示例
簡單示例
配置要監視的日誌檔案是很簡單的。只需提供要監視的檔案的名稱和格式:
/var/log/messages
syslog
要監控乙個windows事件日誌,您需要提供格式為「eventlog」,檔名是eventlog。如:
security
eventlog
要監視windows vista或晚些時候的windows事件日誌,您可以使用「eventchannel」日誌格式。檔名是eventlog。這是監視應用程式和服務日誌的唯一方法。如果檔名包含乙個「%4」,那麼用「/」替換它。如:
microsoft-windows-printservice/operational
eventchannel
為了檢查多個檔案,ossec支援posix正規表示式。例如,要分析在/var/log目錄中以.log結尾的每個檔案,請使用以下配置:
/var/log/*.log
syslog
syslog
萬用字元不能與基於日期的格式相結合。
iis日誌示例
對iis(5和6)的支援可用於ncsa格式(web only)和w3c擴充套件格式(用於web、ftp和smtp)。預設情況下,安裝指令碼將嘗試配置ossec來監視web的第乙個虛擬主機(w3svc1到w3svc254)、ftp(msftpsvc1到msftpsvc254)和smtp(smtpsvc1到smtpsv254)。要監視任何其他檔案,您需要手動新增乙個新條目。
除此之外,還要確保將日誌的時間設定為每天。
並使用本地時間進行檔案命名和翻轉。
在擴充套件的日誌記錄屬性中,將其配置為記錄日期、時間和所有擴充套件屬性。
下面是乙個配置的示例,用於監視iis web的虛擬伺服器2
%windir%\system32\logfiles\w3svc3\ex%y%m%d.log
iis
OSSEC文件 OSSEC安裝
翻譯 ossec安裝 安裝要求 ubuntu redhat debian 管理 安裝 windows 安裝 ossec只支援windows系統作為 並且需要ossec伺服器來執行。二進位制安裝 在第二個伺服器上編譯ossec 二進位制ossec包的安裝 伺服器虛擬裝置安裝 概述賬戶和密碼 將ovf轉...
OSSEC文件 OSSEC自動安裝
翻譯 ossec有能力編譯和安裝,而不需要安裝。sh的互動。安裝指令碼可以從etc preloaded vars中收集問題的答案。conf配置檔案。安裝程式要求的大多數問題都出現在配置檔案中,以及預設的答案。取消對每個變數的注釋將允許指令碼知道答案。預設安裝的任何更改都應該在配置檔案中進行。如果us...
OSSEC文件 開始使用OSSEC
翻譯 開始使用ossec ossec是乙個監視和控制系統的平台。它將hids 基於主機的入侵檢測 日誌監視和安全事件管理 sim 安全資訊和事件管理 siem 的所有方面整合在乙個簡單 強大且開源的解決方案中。優點 法規遵循需求 ossec幫助客戶滿足特定的遵從性要求,例如pci和hipaa。它允許...