翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/index.html
日志監控/分析
日志分析(或日志檢查)由日志收集和分析過程在OSSEC中完成。第一個收集事件,第二個進行分析(解碼、篩選和分類)。
它是實時完成的,是以一旦事件被編寫,OSSEC就會處理它們。OSSEC可以從内部日志檔案中讀取事件,從Windows事件日志中讀取事件,也可以通過遠端syslog直接接收這些事件。
日志分析是什麼?
在OSSEC内部,我們稱日志分析為一個LIDS,或基于日志的入侵檢測。目标是使用日志檢測攻擊、誤用或系統錯誤。
基于日志的入侵檢測或安全日志分析是用于檢測特定網絡、系統或應用程式使用日志作為主要資訊來源的攻擊的過程或技術。檢測軟體誤用、違規行為和其他不适當的活動也是非常有用的。
簡要情況
日志監控的頻率是多少?
實時。
事件分析在哪裡?
管理端。
它們儲存了多長時間?
隻要您的政策決定(它是使用者可配置的)。
這對我有什麼幫助呢?
(PCI DSS,等等)它對PCI的整個section 10(日志監控)有所幫助。
它使用了多少CPU?
在代理上,它隻使用很少的cpu/記憶體,因為它隻讀取事件并将它們轉發給管理器。
在管理器上,它取決于每秒的事件數(EPS)。
它是如何處理誤報的?
使用本地規則可以消除誤報。
配置項
這些選項應該在每個代理的ossec.conf檔案或共享檔案指定。在<localfile>标簽中,您可以有以下選項。
localfile
location
指定要讀取的日志的位置。strftime格式可以用于日志檔案名。例如,一個名為file.log-2011-01-22的日志檔案。可以參考file.log-%Y-%m-%d。通配符可以用于非windows系統。當使用通配符時,日志檔案必須在 ossec-logcollector啟動時存在。它不會自動開始監視新的日志檔案。strftime和通配符不能在同一條目上使用。
預設:多個(如:/var/log/messages)
允許:任何日志檔案
log_format
正在讀取的日志的格式。
如果是單行日志,則使用syslog。
預設:syslog
允許:
syslog
這種格式是用一種類似于syslog-like格式的純文字檔案。它也可以在不支援日志格式的情況下使用,并且日志是單行消息。
snort-full
這用于Snort的全輸出格式。
snort-fast
這用于Snort的快速輸出格式。
squid
iis
eventlog
這是用于Microsoft Windows eventlog格式的。
eventchannel
這将用于Microsoft Windows eventlog,使用新的EventApi。這允許OSSEC監視标準的“Windows”事件日志和更多的“應用程式和服務”日志。這個支援在2.8中添加。
eventchannel不能在比Vista更早的Windows系統上使用。
mysql_log
這是用于MySQL日志的。它不支援多行日志。
postgresql_log
這是用于PostgreSQL日志的。它不支援多行日志。
nmapg
這用于監控符合nmap中可輸出的輸出的檔案.
apache
這種格式适用于apache的預設日志格式。
command
此格式将是由指令定義的指令(由root運作)的輸出。輸出的每一行都将作為單獨的日志處理。
full_command
此格式将是由指令定義的指令(由root運作)的輸出。整個輸出将被當作一個日志來處理。
command和full_command不能在代理中使用。必須在每個系統的ossec.conf中配置
djb-multilog
multi-line
該選項将允許對每個事件記錄多行的應用程式進行監視。這種格式需要保持一緻的行數。 multi-line:後面是每個日志條目中的行數。每一行将與前面的行合并,直到所有的行都被收集。在最終的事件中可能會有多個時間戳。
允許:<log_format>multi-line: NUMBER</log_format>
例如:
日志消息:
通過ossec-analysisd分析後
要運作的指令。該指令的所有輸出将被讀取為一個或多個日志消息,這取決于是否使用指令或full指令。
alias
識别該指令的别名。這将替換日志消息中的指令。
如:替換成<alias>usb-check</alias>
原:
現:
允許:任意字元串
frequency
指令運作之間的最小時間間隔。該指令可能不會完全運作每個頻率秒,但是運作之間的時間不會比這個設定短。與command和full_command配合使用。
機關:秒
check_diff
事件的輸出将存儲在一個内部資料庫中。每次接收到相同的事件時,輸出都會與之前的輸出相比較。如果輸出發生了變化,将生成一個警告。
only-future-events
隻用于eventchannel日志格式。預設情況下,當OSSEC啟動事件通道日志格式時,将讀取ossec-logcollector在最後一次停止時所錯過的所有事件。為了防止這種行為,我們有可以設定only-future-events 為“yes”。當設定為yes時,OSSEC隻會接收在log收集器開始後發生的事件。
query
隻用于eventchannel日志格式。可以在事件模式之後指定XPATH查詢(參見Microsoft的文檔),以過濾OSSEC将處理的事件。
例如,以下配置隻處理具有7040 ID的事件:
監控日志
在OSSEC中,它們是監視日志的兩種主要方法:檔案和過程。每個方法都有自己的頁面和示例。