OSSEC文檔——日志監控/分析

翻譯：http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/index.html

日志監控/分析

日志分析(或日志檢查)由日志收集和分析過程在OSSEC中完成。第一個收集事件，第二個進行分析(解碼、篩選和分類)。

它是實時完成的，是以一旦事件被編寫，OSSEC就會處理它們。OSSEC可以從内部日志檔案中讀取事件，從Windows事件日志中讀取事件，也可以通過遠端syslog直接接收這些事件。

日志分析是什麼?

在OSSEC内部，我們稱日志分析為一個LIDS，或基于日志的入侵檢測。目标是使用日志檢測攻擊、誤用或系統錯誤。

基于日志的入侵檢測或安全日志分析是用于檢測特定網絡、系統或應用程式使用日志作為主要資訊來源的攻擊的過程或技術。檢測軟體誤用、違規行為和其他不适當的活動也是非常有用的。

簡要情況

日志監控的頻率是多少?

實時。

事件分析在哪裡?

管理端。

它們儲存了多長時間?

隻要您的政策決定（它是使用者可配置的）。

這對我有什麼幫助呢?

（PCI DSS，等等）它對PCI的整個section 10（日志監控）有所幫助。

它使用了多少CPU？

在代理上，它隻使用很少的cpu/記憶體，因為它隻讀取事件并将它們轉發給管理器。

在管理器上，它取決于每秒的事件數(EPS)。

它是如何處理誤報的?

使用本地規則可以消除誤報。

配置項

這些選項應該在每個代理的ossec.conf檔案或共享檔案指定。在<localfile>标簽中，您可以有以下選項。

localfile

location

指定要讀取的日志的位置。strftime格式可以用于日志檔案名。例如，一個名為file.log-2011-01-22的日志檔案。可以參考file.log-%Y-%m-%d。通配符可以用于非windows系統。當使用通配符時，日志檔案必須在 ossec-logcollector啟動時存在。它不會自動開始監視新的日志檔案。strftime和通配符不能在同一條目上使用。

預設：多個（如：/var/log/messages）

允許：任何日志檔案

log_format

正在讀取的日志的格式。

如果是單行日志，則使用syslog。

預設：syslog

允許：

syslog

這種格式是用一種類似于syslog-like格式的純文字檔案。它也可以在不支援日志格式的情況下使用，并且日志是單行消息。

snort-full

這用于Snort的全輸出格式。

snort-fast

這用于Snort的快速輸出格式。

squid

iis

eventlog

這是用于Microsoft Windows eventlog格式的。

eventchannel

這将用于Microsoft Windows eventlog，使用新的EventApi。這允許OSSEC監視标準的“Windows”事件日志和更多的“應用程式和服務”日志。這個支援在2.8中添加。

eventchannel不能在比Vista更早的Windows系統上使用。

mysql_log

這是用于MySQL日志的。它不支援多行日志。

postgresql_log

這是用于PostgreSQL日志的。它不支援多行日志。

nmapg

這用于監控符合nmap中可輸出的輸出的檔案.

apache

這種格式适用于apache的預設日志格式。

command

此格式将是由指令定義的指令(由root運作)的輸出。輸出的每一行都将作為單獨的日志處理。

full_command

此格式将是由指令定義的指令(由root運作)的輸出。整個輸出将被當作一個日志來處理。

command和full_command不能在代理中使用。必須在每個系統的ossec.conf中配置

djb-multilog

multi-line

該選項将允許對每個事件記錄多行的應用程式進行監視。這種格式需要保持一緻的行數。 multi-line:後面是每個日志條目中的行數。每一行将與前面的行合并，直到所有的行都被收集。在最終的事件中可能會有多個時間戳。

允許：<log_format>multi-line: NUMBER</log_format>

例如：

日志消息：

通過ossec-analysisd分析後

要運作的指令。該指令的所有輸出将被讀取為一個或多個日志消息，這取決于是否使用指令或full指令。

alias

識别該指令的别名。這将替換日志消息中的指令。

如：替換成<alias>usb-check</alias> 

原：

現：

允許：任意字元串

frequency

指令運作之間的最小時間間隔。該指令可能不會完全運作每個頻率秒，但是運作之間的時間不會比這個設定短。與command和full_command配合使用。

機關：秒

check_diff

事件的輸出将存儲在一個内部資料庫中。每次接收到相同的事件時，輸出都會與之前的輸出相比較。如果輸出發生了變化，将生成一個警告。

only-future-events

隻用于eventchannel日志格式。預設情況下，當OSSEC啟動事件通道日志格式時，将讀取ossec-logcollector在最後一次停止時所錯過的所有事件。為了防止這種行為，我們有可以設定only-future-events 為“yes”。當設定為yes時，OSSEC隻會接收在log收集器開始後發生的事件。

query

隻用于eventchannel日志格式。可以在事件模式之後指定XPATH查詢（參見Microsoft的文檔），以過濾OSSEC将處理的事件。

例如，以下配置隻處理具有7040 ID的事件:

監控日志

在OSSEC中，它們是監視日志的兩種主要方法:檔案和過程。每個方法都有自己的頁面和示例。