翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/process-monitoring.html
過程監控
概述
在OSSEC中,我們将一切都看作是一個日志,并按照我們的規則對它進行适當的解析。但是,有些資訊在日志檔案中是不可用的,但是我們仍然需要監視它。為了解決這一差距,我們增加了通過OSSEC監視指令輸出的能力,并對這些指令的輸出進行處理,就像它們是日志檔案一樣。
配置示例
磁盤空間使用率(df-h)
例如,如果您想要監視磁盤空間使用率,您需要設定一個cron作業,将df-h的輸出轉儲到一個日志檔案(可能是/var/log/df.log),并配置OSSEC來檢視它。
OSSEC 2.3版本的您可以監視指令後直接在OSSEC配置(/var/ossec/etc/ossec.conf):
由于我們已經有了一個包含OSSEC的df-h的示例規則,當任何分區達到100%時,您将看到以下内容:
平均負載(正常運作時間)示例
另一個例子是,如果您想要監視負載平均值,您可以配置OSSEC來監視“正常運作時間”指令,并在高于2時發出警告,例如:
在規則中(在/var/ossec/rules/local_rules.xml):
當指令更改時發出警告
如果您想在日志或指令的輸出發生變化時建立警告,請檢視規則中的新選項(在最新的快照中可用)。
為了示範一個示例,我們将建立一個規則,以便在伺服器上有一個新端口打開時發出警報。
首先,我們配置OSSEC來運作netstat -tan |grep LISTEN ,将以下内容添加到ossec.conf:
之後,我添加一條規則,當它的輸出發生變化時,請注意:
請注意,我們使用了<check_diff />選項。第一次接收該事件時,它将存儲在一個内部資料庫中。每次它接收到相同的事件,它将與我們的存儲進行比較,并且隻有在輸出發生變化時才會發出警報。
在我們的示例中,在配置OSSEC之後,我啟動了netcat來監聽端口23456,這是我得到的警告:
檢測USB存儲使用情況
Xavier Mertens寫了一篇非常有趣的文章,在OSSEC上檢測USB存儲的使用情況。他使用了我們的政策審計子產品,但是我認為使用我們的新checkdiff特性可以更輕松地使用USB監控。
首先,首先配置您的Windows代理,以使用reg指令監視USBSTOR系統資料庫條目:
接下來為該指令建立一個本地規則:
幾分鐘後,您将在/var/ossec/queue/diff/[agent_name]/[rule_id]中看到該指令的目前快照。一旦有人添加了一個新的USB裝置,你就會得到這個警告:
![OSSEC基礎學習[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)