十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
Ossec简单介绍
目前成都创新互联公司已为数千家的企业提供了网站建设、域名、网络空间、网站托管维护、企业网站设计、和田网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
Ossec是一款非常强的主机IDS(hids),它可以帮我们分析日志,检查文件完整性,检查rootkit并且能够实时报警和主动响应。另外ossec几乎支持所有主流的操作系统,因为它是开源的,所以我们可以再ossec上面做二次开发跟我们已有的一些系统进行整合,比如zabbix,cacti。它的工作模式分为两种:C/S模式和local模式。local模式可以单独安装到一台机器上。本文将介绍C/S模式,这种模式在生产环境中最为适用。
Ossec的优点
开源
跨平台
支持无客户端模式
合规性需求
实时的和可配置的警报
集中管理
等等
Ossec的主要功能
日志分析
文件完整性检查(UNIX和Windows)
rootkit检测
Windows注册表监测
基于UNIX的rootkit检测
实时报警和主动响应
检查磁盘空间及系统负载
检测主机端口变化
支持nmap检查端口开放及变更情况
可以检测域名变化情况
等等
默认安装在 /var/ossec/
主配置文件在 /var/ossec/etc/ossec.conf
×××存储在/var/ossec/etc/decoders.xml
二进制文件 /var/ossec/bin/
所有的规则都在/var/ossec/rules/*.xml
警报存储在 /var/ossec/logs/alerts.log
由多个进程控制(所有控制通过ossec-control)
Ossec Server服务器的进程
[root@localhost ~]# ps -ef |grep ossec
ossecm 5505 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-dbd
ossecm 5510 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-maild
root 5512 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-execd
ossec 5518 1 0 13:21 ? 00:00:12 /var/ossec/bin/ossec-analysisd
root 5522 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-logcollector
ossecr 5526 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-remoted
ossecr 5527 1 0 13:21 ? 00:00:01 /var/ossec/bin/ossec-remoted
root 5534 1 0 13:21 ? 00:00:18 /var/ossec/bin/ossec-syscheckd
ossec 5536 1 0 13:21 ? 00:00:00 /var/ossec/bin/ossec-monitord
[root@localhost ~]# /var/ossec/bin/ossec-control status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...
ossec-dbd is running...
每个进程的任务
Analysisd – 做所有的分析(主程序)
Remoted – 从代理接收远程日志
Logcollector –读取日志文件(syslog,平面文件,Windows事件日志,IIS,等)
Agentd –转发日志服务器
Maild – 发送电子邮件警报
Execd – 执行积极的反应
Monitord - 监视代理状态下,压缩和标志的日志文件,等
ossec-control 管理启动和停止他们的所有
ossec local:普通日志故障分析流程
日志采集由ossec-logcollector做
分析和解码是通过 ossec-analysisd 做
报警是通过ossec-maild 做
积极响应由 ossec-execd 做
client/server:客户/服务器体系结构的通用日志分析流程
日志采集由ossec-logcollector做
分析和解码是通过 ossec-analysisd 做
报警是通过ossec-maild 做
积极响应由 ossec-execd 做