OSSEC系列之编写自己的DECODE

安全 网站安全
OSSEC之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID。

OSSEC之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID。

会编写DECODE会对使用OSSEC有很大的帮助。 这里会要用到OSSEC的一个测试命令ossec-logtest.

这里编写一个简单的规则,遇到lion_00的时候,会产生一条ALERTID 为8888 严重度级别为7的报警信息。

首先是创建一个规则,在/var/ossec/rule 下创建一个testrule.xml 内容为:

//每一组rule 都要有group

lion //使用一个叫lion的decode

testrule //产生的告警信息

需要编写DECODE,在/var/ossec/etc/decoder.xml (默认安装目录)

//这里是不规范注释,decoder 名称 上面提到的lion

^lion_00 // 匹配的内容 如果是高级的DECODER 还会有很多参数

需要说明的是,最好将自己的decode 放到文件稍微靠上的位置。

这个时候,使用 /var/ossec/bin/ossec-logtest 输入lion_00 会看到

**Phase 1: Completed pre-decoding.

full event: ‘lion_00′

hostname: ‘IDC2103′

program_name: ‘(null)’

log: ‘lion_00′

**Phase 2: Completed decoding.

decoder: ‘lion’

**Phase 3: Completed filtering (rules).

Rule id: ’8888′

Level: ’7′

Description: ‘testrule’

**Alert to be generated.

责任编辑:蓝雨泪 来源: usefulshare
相关推荐

2012-11-14 11:09:14

OSSECactive-resp

2012-11-14 11:03:14

OSSEC文件检查SYSCHECK

2010-04-28 16:53:20

Oracle 函数

2021-04-13 09:15:16

C++插件Nodejs

2013-07-11 10:03:36

JavaScript框架

2013-07-10 10:38:48

JavaScript框

2022-08-11 07:32:51

Starter自动装配

2010-12-24 10:53:35

OSSEC HIDS开源

2021-05-31 05:36:43

WebpackJavaScript 前端

2019-08-08 16:30:23

技术编程SpringBoot

2011-09-01 10:09:31

OracleDECODE常用窗口函数

2012-11-07 15:57:34

OSSECMYSQL

2018-04-23 13:10:01

2021-07-10 07:39:38

Node.js C++V8

2020-07-27 08:34:17

程序员技术设计

2012-02-27 13:56:19

Java服务器

2014-06-16 11:17:12

入侵检测OSSEC日志分析

2020-04-29 12:50:29

Solidity智能合约区块链

2016-10-07 20:04:53

2013-08-20 10:12:37

入侵检测系统ossec
点赞
收藏

51CTO技术栈公众号