背景: Ossec安装后用了一段时间的analogi作为ossec的报警信息显示平台,但是查看报警分类信息. 以及相关图标展示等方面总有那么一点点的差强人意,难以分析.因此使用逼格高一点的splunk作为 日志分析平台就变得很有必要了. 操作: 一.ossec服务端配置 (1)配置ossec数据转发至splunk监听端口 [root@localhost html]# vim /opt/ossec/etc/ossec.conf 在<ossec_config>标签下添加<syslog_out…

注意:以下操作需在OSSEC服务端进行设置 一.下载analogi,存放于/var/www/html/下并赋予权限 [root@localhost ~]# wget https://github.com/ECSC/analogi/archive/master.zip[root@localhost ~]# unzip master.zip[root@localhost ~]# mv analogi-master/ /var/www/html/analogi[root@localhost ~]# c…

上一篇文章中已经将OSSEC服务端的安装以及客户端的Key导出操作做了解说,接下来在另一台虚拟机中安装客户端,与安装服务端类似同样需要安装ossec,步骤如下. 一.下载ossec-hids-2.8.3.tar.gz并解压 root@kali2:~# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gzroot@kali2:~# tar zxf ossec-hids-2.8.3.ta…

配置路径:/opt/ossec/etc/ossec.conf <ossec_config>   <global>     <email_notification>yes</email_notification>     <email_to>pentest.test@163.com</email_to>     <smtp_server>127.0.0.1</smtp_server>     <email_…

下载好ossec安装文件后解压得到如下目录 [root@localhost ~]# cd ossec-hids-/ [root@localhost ossec-hids-]# ll total drwxrwxr-x. root root Oct active-response drwxr-xr-x. root root Jul : bin -rw-rw-r--. root root Oct BUGS -rw-rw-r--. root root Oct CONFIG drwxrwxr-x. roo…

OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中.主要功能有日志分析.完整性检查.rootkit检测.基于时间的警报和主动响应. 除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/ 安全信息管理(SIM:SecurityInformation Management))解决方案中.因其强大的日志分析引擎, ISP(…

启动并查看httpd服务 systemctl start httpd systemctl status httpd.service 启动并查看mysql服务 systemctl start mariadb systemctl status mariadb.service 启动并查看sendmail服务 systemctl start sendmail.service systemctl status sendmail.service 批量重启apache.mysql.sendmail服务 for…

命令:/opt/ossec/bin/agent_control -h注释:/opt/为安装目录 [root@redhat rules]# /opt/ossec/bin/agent_control -h OSSEC HIDS agent_control: Control remote agents. Available options: -h This help message. -l List available (active or not) agents. -lc List active a…

1. /var/www/html/analogi -> ossec 第三方的web界面的安装目录 [root@ossec-server ~]# cd /var/www/html/analogi/ [root@ossec-server analogi]# ls about.php db_ossec.php.new index.php php amcharts detail2csv.php INSTALL.txt README.md colours.php detail.php ip_info.ph…

[科普]入侵检测系统ossec配置文件详解 http://www.freebuf.com/articles/system/11862.html http://www.freebuf.com/author/lion_00…

将主机IDS OSSEC日志文件存入MYSQL的方法 http://www.freebuf.com/articles/system/6139.html http://ossec-docs.readthedocs.org/en/latest/manual/output/syslog-output.html https://github.com/magenx/Logstash http://drops.wooyun.org/tips/5300 ----------------------------…

OSSEC初探 概念: OSSEC是一款开源的基于主机的入侵检测系统(HIDS),它可以执行日志分析.完整性检验.windows注册表监控.隐匿性检测和实时告警.它可以运行在各种不同的操作系统上,包括Linux.OpenBSD.Mac OS X.Solaris和windows. 架构: OSSEC由多个模块组成,包括服务端.agent端.数据库.日志系统等. 简单的理解,OSSEC工作于C/S模式,由agent监控收集信息上报给Server端,Server端对信息进行分析和预处理,并通过邮件将系…

不多说,直接上干货! 前言 写在前面的话,网上能够找到一些关于ossec方面的资料,虽然很少,但是总比没有强,不过在实际的使用过程中还是会碰到许多稀奇古怪的问题.整理整理我的使用过程,就当做一篇笔记吧. PS:本文填了很多坑. OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS.它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能.它支持多种操作系统:Linux.Windows.MacOS.Solaris.HP-UX.AIX.属于企业安全之利器.…

不多说,直接上干货! 前言 写在前面的话,网上能够找到一些关于ossec方面的资料,虽然很少,但是总比没有强,不过在实际的使用过程中还是会碰到许多稀奇古怪的问题.整理整理我的使用过程,就当做一篇笔记吧. PS:本文填了很多坑. OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS.它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能.它支持多种操作系统:Linux.Windows.MacOS.Solaris.HP-UX.AIX.属于企业安全之利器.…

OSSEC是一款开源的系统监控平台.它集成了HIDS(主机入侵检测).日志监控.安全事件管理(SIM).安全信息和事件管理(SIEM)于一身,结构简单.功能强大的开源解决方案. 主要优点 满足合规性 OSSEC可以帮助你满足诸如PCI.HIPAA之类的监管要求.它通过对应用及系统日志的分析,发现一些恶意行为,诸如未经授权的文件系统更改等.例如对于PCI来说,要求对文件完整性进行监测(PCI11.5,10.5),日志的检测和分析(pci 10),配置项的强化及检查,OSSEC均可发挥一定的作用 平…

(1) 服务器上添加客户端 在服务器上添加客户端,执行如下命令,按照提示进行输入,红色部分是我们输入的: [root@ossec-server logs]# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2. Agent manager. * * The following options are available: * **************************…

一.场景 当攻击者尝试使用字典对某一台主机的sshd服务进行暴力破解的时候,如果我们能第一时间受到攻击预警的邮件的话,对安全人员或者运维人员来说都能做出快速响应.而使用ossec恰巧可以完成这一工作,但是要做些配置修改. 二.条件 设置邮件预警的前提是你的ossec server安装了邮件服务器,用的比较多的是sendmail,安装好sendmail后 通过配置/etc/aliases即可完成将发送到root的邮件自动转发到其他外部你想转发的邮件服务器. 安装sendmail 确认/etc/al…

代理端 OSSEC有两种代理端:可安装的代理端和哑代理端(免安装).可安装的代理端被安装在主机上,通过OSSEC的加密协议将主机的信息发送到OSSEC服务器.亚代理端则不需在远端主机进行安装.他作为OSSEC管理端的进程存在,通过RPC(ssh或rdp.wmi)的方式收集远端系统的信息. 代理端的管理 通过manage_agents命令可增加一个新的代理端.步骤如下: 1.在OSSEC服务器上运行manage_agents 2.增加一个代理端 3.提取代理端的key值 4.复制key到代理端:…

安装 安装要求 对于Unix系统来说,OSSEC只需要GNU的make.gcc和libc.推荐使用OpenSSL,但仅属于一个可选项.而且,通常您只需在一个系统上做编译操作,然后将二进制程序复制到其他机器即可. Ubantu 在Ubantu系统上,你在编译安装OSSEC之前,需要安装build-essential包. 通过如下命令安装程序包: # apt-get install build-essential 如果需要支持数据库选项的话,需要安装mysql-dev或者postgresql-dev…

OSSEC兼容以下操作系统和日志格式 操作系统 以下操作系统可安装OSSEC代理 l  GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, Debian, etc) l  Windows XP, 2003, Vista, 2008, 2012 l  VMWare ESX 3.0,3.5 (含CIS 检测) l  FreeBSD (全部版本) l  OpenBSD (全部版本) l  NetBSD (全部版本) l  S…

OSSEC由很多部分组成,它有一个集中的管理端,用于监控.并接收来自代理.syslog.数据库或无代理设备的日志. 管理端(服务器) 管理端属于OSSEC部署中的中心部分.它存储了文件完整性检测数据库,日志.事件.系统审计数据.所有的规则.解码器.主要配置项被集中存储在管理端,从而使管理大量代理变得很容易. 提示 管理端可以叫做OSSEC服务器,或者在本文档中直接称为服务器. 代理 代理是一个小程序,或者是一些小程序的集合,安装在被监控的操作系统上.代理收集信息并将信息转发至管理端,用以关联分析…

  一.前言 OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS.它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能.它支持多种操作系统:Linux.Windows.MacOS.Solaris.HP-UX.AIX.属于企业安全之利器. S/C运行模式,类似于zabbix ossec支持3种日志, Alert logging, firewall logging and event (archiving) logging server开通udp51…

Install and Configure OSSEC on Debian 7&8 Contributed by Sunday Ogwu-Chinuwa Updated Friday, February 5th, 2015 by James Stewart This is a Linode Community guide. Write for us and earn $250 per published guide. OSSEC is an open-source, host-based int…

1,安装环境 [root@node32 test]# yum groupinstall "Development Tools" -y Installed: byacc.x86_64 0:1.9.20130304-3.el7 cscope.x86_64 0:15.8-7.el7 ctags.x86_64 0:5.8-13.el7 diffstat.x86_64 0:1.57-4.el7 doxygen.x86_64 1:1.8.5-3.el7 gcc-gfortran.x86_64 0:…

测试机 172.16.53.191 服务端(server) 测试机 172.16.53.253 客户端(agent) [server端配置] yum install mysql mysql-server mysql-devel httpd php php-mysql gcc gcc-c++ vim wget lrzsz ntpdate sysstat dstat unzip -y wget https://bintray.com/artifact/download/ossec/ossec-hid…

Ossec 安装并配置邮件通知 目录 Ossec 安装并配置邮件通知 1. 介绍 2. 软硬件环境 3. 安装步骤 3.1 Server 3.2 Agent 3.3 配置邮件通知 4. 参考资料 1. 介绍 OSSEC 是一个完全开源的免费的服务器入侵检测工具,它支持多个平台,包括Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac and VMware ESX:提供预留的入侵规则并提供相关的定制选项,也支持自定义安全规则,规则触发后的行动支持邮件通知,数据…

http://dcid.me/blog/2010/01/using-ossec-for-the-forensic-analysis-of-log-files/…

http://gavinshaw.blog.51cto.com/385947/1020540…

http://www.cnblogs.com/zlslch/p/8512757.html…

https://yq.aliyun.com/articles/683077?spm=a2c4e.11163080.searchblog.9.753c2ec1lRj02l…