|
|
|
|
公众号矩阵

Q069-Q073

作者:李晨光来源:人民邮电出版社|2019-08-27 09:48

  Q069 如何在Web中查看OSSEC Agent状态?

在客户端浏览器中打开OSSIM管理界面,在ANALYSIS→DETECTION→HIDS下,可以查看到代理已成功添加,状态为Active,如图2-34所示。将鼠标移动到ID号前面“!”位置处,这样就能查看当前Agent的工作状态。

2-34  查看OSSEC Agent工作状态

当鼠标移动到扇形区域上时,会立刻显示出当前OSSEC日志名称及所占比例,单击该区域会调出SIEM中显示的OSSEC事件。另外在命令行下操作时,还可以知道更详细的信息。在命令行中输入以下命令来执行这个操作。

#/var/ossec/bin/agent_control –lc

 Q070 OSSEC日志存储在什么位置?

OSSEC将日志存储在/var/ossec/logs/alerts目录中,其格式为/var/ossec/logs/alerts///ossec_alerts_日期.log,其中的年和月表示日志事件生成的年份和月份,如图2-35所示。

OSSEC日志是文本格式,意味着可以直接查看。OSSEC日志也支持Perl脚本检索。在关联分析之后,OSSIM把重要的OSSEC报警数据按照一定格式转储到MySQLAlienVault库中以便今后分析,这才是最重要的数据。另外,可以在SIEM控制台中通过数据源筛选快速查看HIDS事件。

2-35  查看OSSEC报警日志

 Q071 Web UIOSSEC调用规则的后台文件位于何处

调用规则的后台文件为XML格式,其存放路径为/var/ossec/alienvault/rules/目录,如图2-36所示。

2-36  OSSEC规则的存放路径

 Q072 如何监听OSSEC ServerAgent之间的数据通信?

实验环境:

m     OSSEC Server IP192.168.11.150

m     Agent IP192.168.11.2

OSSEC ServerAgent之间通过UDP 1514端口通信。在故障排除过程中,监听该端口尤为重要。下面简单列举了5种方法来检测故障。

m     OSSEC Server端通过ngrep命令进行操作的效果如下所示。

#ngrep -q -d any port 1514

m     tcpdump方法(传感器IP192.168.11.2)。

#tcpdump src 192.168.11.123 and port 1514

 

m     #netstat –na|grep 1514

#nc –vuz 192.168.11.2 1514

 

参数含义如下所示。

v:输出交互信息。

u:指定nc使用UDP

z:表示zero,扫描时不发出任何数据。

m     使用tshark工具。

#tshark –z io,stat,1,ip.addr==192.168.11.2

 

m     使用dumpcap工具。

 #dumpcap -i eth0 -w udp.pcap –f "udp and host 192.168.11.2"

 #tcpdump –r udp.pcap

 

以上5种方法也适用于检测SSH服务、Apache服务及NetFlow服务故障。

 Q073 Windows平台中已安装了OSSEC Agent,但在OSSIM服务器中没有接收到日志,这怎么解决?

出现这种情况时,需要在安装OSSEC AgentWindows系统中检查Agent是否启动,重启后即可恢复。如果OSSIM服务器依然没收到日志,可以重启服务器端的ossec-control服务,方法如下。

#/var/ossec/bin/ossec-control stop      //先停止

#/var/ossec/bin/ossec-control start     //后启动

【责任编辑:renliping TEL:(010)68476606】

回书目      
点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

这就是5G

这就是5G

5G那些事儿
共15章 | armmay

111人订阅学习

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

371人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

753人订阅学习

读 书 +更多

计算机网络原理与实践标准教程

本书深入浅出地阐述了计算机网络技术的基本原理,介绍了当前常用的先进网络技术以及网络的实际应用知识。全书主要内容包括计算机网络概述、...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微