OSSEC文件 輸出及告警配置

2021-08-15 21:55:42 字數 2539 閱讀 8611

翻譯:

輸出及告警配置

ossec包含許多向其他系統或應用程式傳送警報的方法。syslog、電子郵件和向sql資料庫傳送警報是典型的方法。這些輸出方法只傳送警報,而不是完整的日誌資料。由於**不生成警報,所以這些選項僅是伺服器端。

通過syslog傳送警報

syslog輸出允許ossec管理員將ossec警報傳送到乙個或多個syslog伺服器。因為ossec只通過syslog傳送警報,所以這些選項只用於伺服器或本地安裝。

ossec還支援通過cef、json和傳送警報到splunk。

配置選項

syslog_output

server-syslog伺服器ip

port-syslog伺服器監聽埠

level-告警級別

group-屬於本組的警告將被**。

rule_id-屬於本規則的警告將被**。

location-屬於該位址的警告將被**。

use_fqdn-預設情況下,在生成syslog訊息時,ossec會在第乙個階段('.')中刪除主機名。將這個選項設定為「yes」將導致它使用伺服器上配置的完整主機名。

format-

10.0.0.1


514cef
使syslog輸出

可以配置ossec伺服器來通過syslog傳送警報。在本例中,所有警報都傳送到192.168.4.1,級別10以上級別的警報也被傳送到10.1.1.1:

...


192.168.4.1


1010.1.1.1


...
在進行了更改之後,應該啟用客戶機-syslog流程:

# /var/ossec/bin/ossec-control enable client-syslog
重新啟動ossec:

# /var/ossec/bin/ossec-control restart
osseccsyslog應該與其他的ossec程序一起開始:

starting ossec hids v2.8 (by trend micro inc.)...


...started ossec-csyslogd...


...
日誌顯示:

# tail -n 1000 /var/ossec/logs/ossec.log | grep csyslog


2008/07/25 12:55:16 ossec-csyslogd: info: started (pid: 19412).


2008/07/25 12:55:16 ossec-csyslogd: info: forwarding alerts via syslog to: 『192.168.4.1:514′.


2008/07/25 12:55:16 ossec-csyslogd: info: forwarding alerts via syslog to: 『10.1.1.1:514′.
通過電子郵件傳送警報

向單個電子郵件位址發出警報

在/var/ossec/etc/ossec.conf中的中新增如下:

yes


[email protected]


mx.example.com..


[email protected]
設定允許傳送的最小告警級別

10
重啟

# /var/ossec/bin/ossec-control restart

每日郵件報告

每天的電子郵件報告都是當天的ossec警告的摘要。

在/var/ossec/etc/ossec.conf中配置

屬性:reports

group 

categories

rule

level

location

srcip

user

title

email_to

showlogs

儲存警報為json(該特性首次出現在ossec 2.9中。)

將輸出傳送到資料庫

支援告警傳送到mysql和postgresql

配置選項

在ossec.conf中

屬性database_output

hostname

username

password

database

type

啟用資料庫支援

# cd ossec-hids-*


# cd src; make setdb; cd ..


# ./install.sh
在配置中啟用資料庫輸出

# /var/ossec/bin/ossec-control enable database
資料庫特定的設定

mysql

postgresql

HAProxy 日誌輸出及配置

正所謂,沒有軟體敢說沒有bug,人無完人,software is not perfect software。是軟體就可能存在bug,那麼如果出現bug,我們就要分析對我們業務的影響及可能如何避免bug的再現。haproxy也不例外,也可能在特殊場景下出現bug,因此我們就有必要記錄下必要的日誌資訊。...

scrapy log日誌的配置及輸出

原文 1 在配置檔案中設定日誌輸出檔名和日誌等級 1 為什麼以日期為檔名?因為這樣可以方便開發者檢視每天的日誌資訊,同時也可以防止單檔案log日誌資訊堆積的越來越多,所以將當天日誌資訊儲存到當天的日誌檔案中 2 配置選項有日誌等級log level 日誌檔案路徑log file,我這裡設定等級為wa...

爬蟲scrapy框架 log日誌輸出配置及使用

1 在配置檔案中設定日誌輸出檔名和日誌等級 1 為什麼以日期為檔名?因為這樣可以方便開發者檢視每天的日誌資訊,同時也可以防止單檔案log日誌資訊堆積的越來越多,所以將當天日誌資訊儲存到當天的日誌檔案中 2 配置選項有日誌等級log level 日誌檔案路徑log file,我這裡設定等級為warni...