我在 Web 服务器匹配上使用 ossec 配置,它为我的组织托管一个非常关键的应用程序。我想知道如何使用 ossec 来监控系统的变化?
我是 ossec 使用的新手,但常识表明我是否正在监视每个文件(例如主机、netstat 输出)。在这种情况下,ossec 是否在目标服务器指南上提供最佳实践(值得关注的前 10 项列表)来帮助像我这样的人。
谢谢。
问问题
401 次
1 回答
0
您似乎感兴趣的是 OSSEC 的完整性检查功能。您可以先查看http://www.ossec.net/doc/manual/syscheck/index.html中该功能的文档。最后有一些示例和常见问题解答部分。
尽管如此,OSSEC 最强大的功能是日志聚合和分析,除了检查文件完整性之外,您还可以密切关注 Web 服务器的日志以查找可能的错误。您还应该考虑在服务器上运行 OSSEC 代理并将 OSSEC 服务器放在其他地方。有太多的考虑要在一篇文章中简单解释一下,如果你真的有兴趣,我建议你去看看这本书OSSEC Host-Based Intrusion Detection Guide,它不会太长,而且很详细。
于 2013-03-17T14:58:20.170 回答