OSSEC系列之文件检查(SYSCHECK)

安全 网站安全
ossec 可以对文件进行检查,包括文件是否修改,修改的内容(正常手段,有时候),文件属性等等。

ossec 可以对文件进行检查,包括文件是否修改,修改的内容(正常手段,有时候),文件属性等等。

关于文件的监控,在OSSEC.CONF文件中

<ossec_config>

<syscheck>

。。。。文件监控内容

</syscheck>

</ossec_config>

先给出一份简单的配置选项

<syscheck>

<!-- Frequency that syscheck is executed - default to every 22 hours -->

<frequency>79200</frequency>

<!-- Directories to check (perform all possible verifications) -->

<alert_new_files>yes</alert_new_files>

<directories check_all="yes" realtime="yes" report_changes="yes">/103</directories>

<!-- Files/directories to ignore -->

<ignore>/etc/mtab</ignore>

<!-- Windows files to ignore -->

<ignore>C:\WINDOWS/System32/LogFiles</ignore>

</syscheck>

介绍一下

<frequency> 扫描频率 每隔多长时间进行扫描

<alert_new_files> 是否报告新文件 默认是no 的,而且,这里即使设置yes 由于OSSEC文件创建的默认RULE 告警级别是0 所以也不会显示,所以如果要显示新文件告警,还需要修改RULE 规则,或者新创建一个规则,覆盖掉原有规则。 见附一

<directories check_all="yes" realtime="yes" report_changes="yes">

这里是监控的目录ossec 会对目录和文件进行监控,但如果使用了realtime 进行监控,则这里必须是目录。

check_all :检测所有选项 包括文件的MD5,SH1 文件大小,宿主等等。

report_changes : 报告文件改变。

<ignore>:忽略文件

还有一个auto_ignore: 使用方式 <auto_ignore>yes|or</auto_ignore> 为了防止文件被频繁改变而产生报警,如果是yes则默认3次之后不会产生告警,为no则改变就发生报警。 目前貌似只能全局生效,不能针对单个文件或者目录。

配置完成后,重启OSSEC 即可。 #service ossec restart

附一 新建文件告警:

在ossec 安装目录的 rules 下 (/var/ossec/rules) 新建一个规则.xml(需要在ossec.conf 里包含)或者直接编辑local_rules.xml,增加

<rule id="554" level="10" overwrite="yes">

<category>ossec</category>

<decoded_as>syscheck_new_entry</decoded_as>

<description>File added to the system.</description>

<group>syscheck,</group>

</rule>

附二 参考:http://www.ossec.net/doc/manual/syscheck/index.html

责任编辑:蓝雨泪 来源: usefulshare
相关推荐

2012-11-14 11:09:14

OSSECactive-resp

2012-11-07 16:21:14

OSSECDECODE

2013-08-20 10:12:37

入侵检测系统ossec

2022-03-30 14:07:47

Harmony操作系统鸿蒙

2012-11-07 15:57:34

OSSECMYSQL

2023-09-11 11:31:53

VLC日志文件

2014-06-16 11:17:12

入侵检测OSSEC日志分析

2009-12-01 09:13:51

shell脚本linux

2011-04-29 10:58:11

SimpleFrame

2015-07-13 16:04:37

UbuntuOSESSC

2019-05-15 10:05:19

主机安全Linux安全系统安全

2012-07-02 10:43:49

JVMGroovyJava

2020-07-22 07:45:00

JavaScript开发技术

2010-12-24 10:53:35

OSSEC HIDS开源

2023-03-03 08:18:41

2023-01-06 08:18:44

2021-07-07 21:40:46

Rust函数劝退

2021-06-09 08:53:34

设计模式策略模式工厂模式

2020-05-27 08:05:33

MybatisMapper接口

2017-06-15 13:29:12

AkkaSpark异步
点赞
收藏

51CTO技术栈公众号