Centos6.4安装ossec2.7(1)-创新互联

Ossec简单介绍

目前成都创新互联公司已为上1000家的企业提供了网站建设、域名、虚拟空间、网站托管、服务器托管、企业网站设计、上街网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

Ossec是一款非常强的主机IDS(hids),它可以帮我们分析日志,检查文件完整性,检查rootkit并且能够实时报警和主动响应。另外ossec几乎支持所有主流的操作系统,因为它是开源的,所以我们可以再ossec上面做二次开发跟我们已有的一些系统进行整合,比如zabbix,cacti。它的工作模式分为两种:C/S模式和local模式。local模式可以单独安装到一台机器上。本文将介绍C/S模式,这种模式在生产环境中最为适用。

Ossec的优点

开源

跨平台

支持无客户端模式

合规性需求

实时的和可配置的警报

集中管理

等等

Ossec的主要功能

日志分析

文件完整性检查(UNIX和Windows)

rootkit检测

Windows注册表监测

基于UNIX的rootkit检测

实时报警和主动响应

检查磁盘空间及系统负载

检测主机端口变化

支持nmap检查端口开放及变更情况

可以检测域名变化情况

等等

默认安装在 /var/ossec/

主配置文件在 /var/ossec/etc/ossec.conf

×××存储在/var/ossec/etc/decoders.xml

二进制文件 /var/ossec/bin/

所有的规则都在/var/ossec/rules/*.xml

警报存储在 /var/ossec/logs/alerts.log

由多个进程控制(所有控制通过ossec-control)

Ossec Server服务器的进程

[root@localhost ~]# ps -ef |grep ossec

ossecm   5505   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-dbd

ossecm   5510   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-maild

root    5512   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-execd

ossec   5518   1  0 13:21 ?     00:00:12 /var/ossec/bin/ossec-analysisd

root    5522   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-logcollector

ossecr   5526   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-remoted

ossecr   5527   1  0 13:21 ?     00:00:01 /var/ossec/bin/ossec-remoted

root    5534   1  0 13:21 ?     00:00:18 /var/ossec/bin/ossec-syscheckd

ossec   5536   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-monitord

[root@localhost ~]# /var/ossec/bin/ossec-control status

ossec-monitord is running...

ossec-logcollector is running...

ossec-remoted is running...

ossec-syscheckd is running...

ossec-analysisd is running...

ossec-maild is running...

ossec-execd is running...

ossec-dbd is running...

每个进程的任务

Analysisd – 做所有的分析(主程序)

Remoted – 从代理接收远程日志

Logcollector –读取日志文件(syslog,平面文件,Windows事件日志,IIS,等)

Agentd –转发日志服务器

Maild – 发送电子邮件警报

Execd – 执行积极的反应

Monitord - 监视代理状态下,压缩和标志的日志文件,等

ossec-control 管理启动和停止他们的所有

ossec local:普通日志故障分析流程

日志采集由ossec-logcollector做

分析和解码是通过 ossec-analysisd 做

报警是通过ossec-maild 做

积极响应由 ossec-execd 做

client/server:客户/服务器体系结构的通用日志分析流程

日志采集由ossec-logcollector做

分析和解码是通过 ossec-analysisd 做

报警是通过ossec-maild 做

积极响应由 ossec-execd 做

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


当前题目:Centos6.4安装ossec2.7(1)-创新互联
标题链接:http://hbruida.cn/article/dddpps.html