OSSEC系列二——编写自己的DECODE(初级)

2012-11-09 168280人围观 ,发现 6 个不明物体 系统安全

小编的话:lion同学继续带来OSSEC第二篇,也是他自己的使用经验和研究成果,准备出一个连载来介绍各种OSSEC的使用经验,鼓励这种无私的分享精神:)

回顾:

OSSEC系列一—-将主机IDS OSSEC日志文件存入MYSQL的方法

关于OSSEC:


OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 
以及 MacOS等操作系统中。包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,
OSSEC应该被安装在一台实施监控的系统中。


OSSEC 之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID
会编写DECODE会对使用OSSEC 有很大的帮助。 这里会要用到OSSEC的一个测试命令 ossec-logtest.
这里编写一个简单的规则,遇到lion_00的时候,会产生一条ALERTID 为8888 严重度级别为7的报警信息。
首先是创建一个规则,在/var/ossec/rule 下创建一个testrule.xml  内容为:

<group name="localtest,">                               //每一组rule 都要有group
<rule id="8888" level="7">
    <decoded_as>lion</decoded_as>                    //使用一个叫lion的decode 
    <description>testrule</description>                  //产生的告警信息
  </rule>
</group>

需要编写DECODE,在/var/ossec/etc/decoder.xml (默认安装目录)

<decoder name="lion">                     //这里是不规范注释,decoder 名称 上面提到的lion
<prematch>^lion_00</prematch>            // 匹配的内容    如果是高级的DECODER 还会有很多参数   
</decoder>                        

需要说明的是,最好将自己的decode 放到文件稍微靠上的位置。
这个时候,使用 /var/ossec/bin/ossec-logtest  输入lion_00 会看到

**Phase 1: Completed pre-decoding.
       full event: 'lion_00'
       hostname: 'IDC2103'
       program_name: '(null)'
       log: 'lion_00'
**Phase 2: Completed decoding.
       decoder: 'lion'
**Phase 3: Completed filtering (rules).
       Rule id: '8888'
       Level: '7'
       Description: 'testrule'
**Alert to be generated.

ok 成功。

发表评论

已有 6 条评论

取消
Loading...
css.php