OSSEC文件 檔案監控

2021-08-15 21:31:20 字數 1540 閱讀 8545

翻譯:

檔案監控

概述ossec有乙個名為 ossec-logcollector的程序,它可以監視日誌檔案的新事件。當新的日誌訊息到達時,它將它們**到其他程序進行分析或傳輸到乙個ossec伺服器。

配置項ossec-logcollector的配置在/var/ossec/etc/ossec.conf檔案中元素中.

配置示例

簡單示例

配置要監視的日誌檔案是很簡單的。只需提供要監視的檔案的名稱和格式:

/var/log/messages

syslog

windows事件日誌示例

要監控乙個windows事件日誌,您需要提供格式為「eventlog」,檔名是eventlog。如:

security

eventlog

windows eventchannel示例

要監視windows vista或晚些時候的windows事件日誌,您可以使用「eventchannel」日誌格式。檔名是eventlog。這是監視應用程式和服務日誌的唯一方法。如果檔名包含乙個「%4」,那麼用「/」替換它。如:

microsoft-windows-printservice/operational

eventchannel

多檔案示例

為了檢查多個檔案,ossec支援posix正規表示式。例如,要分析在/var/log目錄中以.log結尾的每個檔案,請使用以下配置:

/var/log/*.log

syslog

基於日期的示例

syslog

萬用字元不能與基於日期的格式相結合。

iis日誌示例

對iis(5和6)的支援可用於ncsa格式(web only)和w3c擴充套件格式(用於web、ftp和smtp)。預設情況下,安裝指令碼將嘗試配置ossec來監視web的第乙個虛擬主機(w3svc1到w3svc254)、ftp(msftpsvc1到msftpsvc254)和smtp(smtpsvc1到smtpsv254)。要監視任何其他檔案,您需要手動新增乙個新條目。

除此之外,還要確保將日誌的時間設定為每天。

並使用本地時間進行檔案命名和翻轉。

在擴充套件的日誌記錄屬性中,將其配置為記錄日期、時間和所有擴充套件屬性。

下面是乙個配置的示例,用於監視iis web的虛擬伺服器2

%windir%\system32\logfiles\w3svc3\ex%y%m%d.log

iis

OSSEC文件 OSSEC安裝

翻譯 ossec安裝 安裝要求 ubuntu redhat debian 管理 安裝 windows 安裝 ossec只支援windows系統作為 並且需要ossec伺服器來執行。二進位制安裝 在第二個伺服器上編譯ossec 二進位制ossec包的安裝 伺服器虛擬裝置安裝 概述賬戶和密碼 將ovf轉...

OSSEC文件 OSSEC自動安裝

翻譯 ossec有能力編譯和安裝,而不需要安裝。sh的互動。安裝指令碼可以從etc preloaded vars中收集問題的答案。conf配置檔案。安裝程式要求的大多數問題都出現在配置檔案中,以及預設的答案。取消對每個變數的注釋將允許指令碼知道答案。預設安裝的任何更改都應該在配置檔案中進行。如果us...

OSSEC文件 開始使用OSSEC

翻譯 開始使用ossec ossec是乙個監視和控制系統的平台。它將hids 基於主機的入侵檢測 日誌監視和安全事件管理 sim 安全資訊和事件管理 siem 的所有方面整合在乙個簡單 強大且開源的解決方案中。優點 法規遵循需求 ossec幫助客戶滿足特定的遵從性要求,例如pci和hipaa。它允許...