承接自上文 OSSEC an open source HIDS --- Log Analysised ( 1 )
下面转向我们的主题:Log analysised---The main process.
Log analysised 包含了日志的解码与分析,是非常艰难的工作。
以下是Log analysised的执行步骤:
1.日志预解码 Log pre-decoding
2.日志解码 Log decoding
3.日志分析 Log analysis
接下来详细说明以上三个步骤:
1.日志预解码 Log pre-decoding
目的:从日志中提取一般的信息。
例如:从系统日志头中获取主机名,程序名和时间等等。
条件:日志必须格式良好。
例1:
假设系统日志中新产生了一条系统信息:
Apr 13 13:00:01 enigma syslogd: restart
在OSSEC中,经预解码后,看起来将会像以下这个样子:
time/date -> Apr 13 13:00:01
hostname -> enigma
program_name -> syslogd
log -> restart
例2:
假设SSHD日志中新产生了一条SSHD信息:
Apr 14 17:32:06 enigma sshd[1025]: Accepted password for root from 192.168.2.190 port 1618 ssh2
在OSSEC中,经预解码后,看起来将会像以下这个样子:
time/date -> Apr 14 17:32:06
hostname -> enigma
program_name -> sshd
log -> Accepted password for root from 192.168.2.190 port 1618 ssh2
例3:
假设SSHD日志中新产生了一条ASL信息:
[Time 2006.12.28 15:53:55 UTC] [Facility auth] [Sender sshd] [PID 483]
[Message error: PAM: Authentication failure for username from 192.168.0.2]
[Level 3] [UID -2] [GID -2] [Host mymac]
在OSSEC中,经预解码后,看起来将会像以下这个样子:
time/date -> Dec 28, 2006 15:53:55
hostname -> mymac
program_name -> sshd
log -> error: PAM: Authentication failure for username from 192.168.0.2
2.日志解码 Log decoding
日志解码是为了获得比预解码更深入的信息,这次不是从日志头中提取,而是从日志内容中用正则表达式(Regular Expresion)标识出某些关键字,一般我们需要提取源IP地址,用户名,ID号等等的信息。
我们有上百条默认的解码规则,它们被保存在decoder.xml文件中。
程序启动时,经过OSSEC处理,这些解码规则将被读入一个树状的结构中。
例1:
假设SSHD日志中新产生了一条SSHD信息:
Apr 14 17:32:06 enigma sshd[1025]: Accepted password for root from 192.168.2.190 port 1618 ssh2
在OSSEC中,经解码后,看起来将会像以下这个样子:
time/date -> Apr 14 17:32:06
hostname -> enigma
program_name -> sshd
log -> Accepted password for root from 192.168.2.190 port 1618 ssh2
srcip -> 192.168.2.190
user -> root
3.日志分析 Log analysis
日志被解码之后的下一步,是检查是否有与之相匹配的规则。
OSSEC有400多条默认的规则,用XML形式保存。
程序启动时,经过OSSEC处理,所有规则都被读入一个树状的结构中。
规则只能用来匹配被解码之后的日志信息。
由于解码器的存在,规则和日志的初始化之间没有直接的联系。
匹配过程图解如下:
这种方法类似绝大多数的日志分析工具,不是以水平的方式进行的。
这种方法十分有效,平均每条日志只用匹配7-8条规则,而不是全部的400条。
自此,OSSEC整个日志分析过程的讲解到此完毕。
原文出处:《Log Analysis using OSSEC》 作者:Daniel B. Cid
分享到:
相关推荐
ossec-hids-1.6 HIDS ossec
带有PCRE2的OSSEC 3.3.0,解压之后可以直接运行install.sh安装
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
ossec官方源码,3.6.0最新版本,编译后用于安装linux下的server和agent,方便部署,可本地自行编译成多平台的可执行程序
ossec用于安装在linux主机,可以安装服务器版本和代理版本。用于检测攻击行为,文件系统变化,收集系统日志等。
ossec入侵检测搭建部署,第三方web管理ossec-wui0.9版本
更改目录cd OSSEC-ELK-Application-Servers-Setup 生成ssh密钥。 您可以将其保存在首选文件中。 ssh-keygen 使用上面生成的ssh密钥的正确路径更新Vagrantfile。 在第19行(私钥)和第20行(公钥)。 我将文件另存...
ossec 开源主机威胁检测工具,可以用于在windows系统上收集日志信息,检测攻击行为及文件系统变化等。
这些是用于创建OSSEC-HIDS 2.8版debian软件包的文件,这些文件包含在ossec.net网站和WAZUH存储库中。 您可以在以下位置找到这些软件包: 或直接在以下: : 这些文件可以构建两个不同的程序包: ossec-hids:...
WINDOWS下配合OSSEC SERVER的agent,安装方便,与Server段联合使用,可以实现多平台的SEIM功能
WAZUH-OSSEC:WAZUH-开源安全平台安装
OSSEC is a full platform to monitor and... It mixes together all the aspects of HIDS (host-based intrusion detection), log monitoring and SIM/SIEM together in a simple, powerful and open source solution.
作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端...
OSSEC & OSSIM Unified Open Source Security开源安全框架精要PPT 内容:Why OSSIM ,OSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ...
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM...
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在...
当网站源文件更新后,对于该存储库发出拉取请求时,它们将由Travis从ossec / ossec-docs存储库自动构建。 请勿更改此REPO中的文件。 如果要更新网站,请编辑ossec / ossec-docs中的文件,然后让Travis进行其余操作...
Logstash, OSSEC + Logstash + Elasticsearch + Kibana OSSEC使用 LOGSTASH - ELASTICSEARCH - KIBANA 管理 OSSEC警报管理现在是Magento安装脚本的一部分。 https://github.com/magenx/Magento-Automat
Wazuh和TheHive集成该项目集成了SIEM Wazuh和TheHive。...w2thive.py /var/ossec/integrations/custom-w2thive.py$ sudo cp /opt/wazuh2thehive/custom-w2thive /var/ossec/integrations/custom-w2thive$ sudo c
ansible-ossec-agent Ansible角色,用于安装和配置OSSEC HIDS代理。 要求 Ansible 2.9.9或更高