Ossec簡(jiǎn)單介紹

目前成都創(chuàng)新互聯(lián)公司已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬空間、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計(jì)、上街網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

Ossec是一款非常強(qiáng)的主機(jī)IDS(hids)，它可以幫我們分析日志，檢查文件完整性，檢查rootkit并且能夠?qū)崟r(shí)報(bào)警和主動(dòng)響應(yīng)。另外ossec幾乎支持所有主流的操作系統(tǒng)，因?yàn)樗情_源的，所以我們可以再ossec上面做二次開發(fā)跟我們已有的一些系統(tǒng)進(jìn)行整合,比如zabbix，cacti。它的工作模式分為兩種:C/S模式和local模式。local模式可以單獨(dú)安裝到一臺(tái)機(jī)器上。本文將介紹C/S模式，這種模式在生產(chǎn)環(huán)境中最為適用。

Ossec的優(yōu)點(diǎn)

開源

跨平臺(tái)

支持無客戶端模式

合規(guī)性需求

實(shí)時(shí)的和可配置的警報(bào)

集中管理

等等

Ossec的主要功能

日志分析

文件完整性檢查（UNIX和Windows）

rootkit檢測(cè)

Windows注冊(cè)表監(jiān)測(cè)

基于UNIX的rootkit檢測(cè)

實(shí)時(shí)報(bào)警和主動(dòng)響應(yīng)

檢查磁盤空間及系統(tǒng)負(fù)載

檢測(cè)主機(jī)端口變化

支持nmap檢查端口開放及變更情況

可以檢測(cè)域名變化情況

等等

默認(rèn)安裝在 /var/ossec/

主配置文件在 /var/ossec/etc/ossec.conf

×××存儲(chǔ)在/var/ossec/etc/decoders.xml

二進(jìn)制文件 /var/ossec/bin/

所有的規(guī)則都在/var/ossec/rules/*.xml

警報(bào)存儲(chǔ)在 /var/ossec/logs/alerts.log

由多個(gè)進(jìn)程控制（所有控制通過ossec-control）

Ossec Server服務(wù)器的進(jìn)程

[root@localhost ~]# ps -ef |grep ossec

ossecm   5505   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-dbd

ossecm   5510   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-maild

root    5512   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-execd

ossec   5518   1  0 13:21 ?     00:00:12 /var/ossec/bin/ossec-analysisd

root    5522   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-logcollector

ossecr   5526   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-remoted

ossecr   5527   1  0 13:21 ?     00:00:01 /var/ossec/bin/ossec-remoted

root    5534   1  0 13:21 ?     00:00:18 /var/ossec/bin/ossec-syscheckd

ossec   5536   1  0 13:21 ?     00:00:00 /var/ossec/bin/ossec-monitord

[root@localhost ~]# /var/ossec/bin/ossec-control status

ossec-monitord is running...

ossec-logcollector is running...

ossec-remoted is running...

ossec-syscheckd is running...

ossec-analysisd is running...

ossec-maild is running...

ossec-execd is running...

ossec-dbd is running...

每個(gè)進(jìn)程的任務(wù)

Analysisd – 做所有的分析（主程序）

Remoted – 從代理接收遠(yuǎn)程日志

Logcollector –讀取日志文件（syslog，平面文件，Windows事件日志，IIS，等）

Agentd –轉(zhuǎn)發(fā)日志服務(wù)器

Maild – 發(fā)送電子郵件警報(bào)

Execd – 執(zhí)行積極的反應(yīng)

Monitord - 監(jiān)視代理狀態(tài)下，壓縮和標(biāo)志的日志文件，等

ossec-control 管理啟動(dòng)和停止他們的所有

ossec local：普通日志故障分析流程

日志采集由ossec-logcollector做

分析和解碼是通過 ossec-analysisd 做

報(bào)警是通過ossec-maild 做

積極響應(yīng)由 ossec-execd 做

client/server:客戶/服務(wù)器體系結(jié)構(gòu)的通用日志分析流程

日志采集由ossec-logcollector做

分析和解碼是通過 ossec-analysisd 做

報(bào)警是通過ossec-maild 做

積極響應(yīng)由 ossec-execd 做

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁名稱：Centos6.4安裝ossec2.7（1）-創(chuàng)新互聯(lián)
文章起源：http://weahome.cn/article/dddpps.html