问题标签 [ossec]

尝试获取 ossec 功能时出现错误：电子邮件通知。在这种情况下，我使用了我的 Gmail 帐户。我已经尝试过本教程，但我无法从中收到任何电子邮件。我得到了带有 warn 的错误日志Mail not accepted by server。它位于/var/ossec/logs/ossec.log您可以看到下面的日志。

这是我的电子邮件配置，ossec.conf位于/var/ossec/etc/ossec.conf

我已经填写了我<smtp_server> 的 to smtp.gmail.com。什么都没有改变。它仍然在我的ossec.log

我怎样才能解决这个问题 ？我安装这个应用程序Ubuntu Server: 16.04

我试过这个教程。但它没有捕获 OSSEC 日志（警报、系统日志等），它只是为我的 Kibana 应用程序提供了这条消息。

找不到任何 Elasticsearch 数据 您需要先将一些数据索引到 Elasticsearch 中，然后才能创建索引模式。

我知道有一些这样的教程。但它需要使用wazuh包，我不想使用它，我只想使用纯 OSSEC。我的 OSSEC 和 ELK 应用程序位于 samw 机器中

我的问题是，如何将 OSSEC 与 ELK 集成？在开始将 OSSEC 连接到 ELK 之前，我必须先进行哪些配置？

我试图忽略从某个主机触发的警报的 ossec 规则。syslog_rules.xml 文件中存在规则 5401：

如果触发此规则，则会生成 10 级警报级别以及一封电子邮件

我想在 local_rules.xml 文件中为此规则添加一个例外，如果发送警报的主机名是 ip-10-XX-XX-XX，则不会生成电子邮件警报。我已经能够在 local_rules.xml 中创建此规则：

当 myUserName 触发规则 5401 时，不会生成警报。根据 ossec 文档，我应该能够将 match 参数替换为：

然而这并不成功，当我触发规则 5401 时仍然会生成电子邮件警报

如何监控用户执行的每一个命令，即使是在 sudo 级别。我已经配置了审计规则，它们出现在 audit.logs 中，但我想及时查看从服务器到 Kibana/wazuh 管理器的每个命令。 在此处输入图像描述

我按照https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/这个站点的过程配置了 OSSEC 。但是在配置之后，当我尝试 /var/ossec/bin/ossec-control restart 我得到了

ossec-monitord 未运行 .. ossec-logcollector 未运行 .. ossec-remoted 未运行 .. ossec-syscheckd 未运行 .. ossec-analysisd 未运行 .. ossec-maild 未运行 .. ossec-execd 未运行 .. OSSEC HIDS v2.9.0 停止启动 OSSEC HIDS v2.9.0（由 Trend Micro Inc. 提供）... OSSEC 分析：测试规则失败。配置错误。退出。

在logtest中，我得到了

读取 XML 文件“/var/ossec/etc/ossec.conf”时出错：XMLERR：元素“syscheck”未关闭。（第 252 行）。2018/05/22 15:20:59 ossec-testrule(1202)：错误：“/var/ossec/etc/ossec.conf”中的配置错误。退出。

我在哪里可以解决问题？

我在我的设置中使用 NGINX，并在 IDS 中使用 wazuh。

我想检查 wazuh kibana 中的所有 nginx 日志（访问/错误）日志，但我无法这样做。

所有的日志都转发到“/var/ossec/logs/archives/archives.log”，在wazuh/kibana中是不可见的。

我是否必须在规则中添加任何更改。

我已阅读有关Wazuh 中的集中式配置的信息。但是可以在服务器中启用/禁用规则而不是在所有服务器中更改吗？

我是 Ossec 的新手，最近将它安装在我目前工作的公司的服务器上。

该服务器监控 80 台 Windows 7 代理机器。在这些代理机器上设置 Ossec 的主要目的是我们可以部署文件完整性监控。

现在回答我的问题；我应该监控什么样的目录？到目前为止，我只有 Ossec 默认提供的默认目录。我还将 FIM 添加到“System”和“System32”目录中。你会推荐我监控更多的目录或文件吗？

亲切的问候，

亚历克斯

我按照https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/在 Azure 中的 ubuntu linux 的虚拟机（节点）上安装了 OSSEC

OSSEC 已正确安装并运行，但当试图充当入侵者时，不会像系统日志、授权日志和警报那样生成日志。

当我尝试作为入侵者执行时，如何解决不生成日志的问题。

在我目前的实验室设置中，我几乎没有安装 ossec 代理并将日志发送到 ossec 服务器的 windows 机器和 linux 机器。从 OSSEC 服务器，我通过 syslog 输出将日志转发到 logstash。在logstash中我没有做任何修改，我只是将普通日志转发到qradar作为接收（我验证了它）。它有警报级别、规则和事件。但是在 qradar 中，它显示了单个日志源，即 logstash 服务器。从 logstash 我将日志作为 syslog 发送到 qradar。理想情况下，在 qradar 中，所有向 ossec 发送日志的机器都应该列在日志源中，但这并没有发生。我在这里做错了什么？任何帮助..我点击了这个链接https://www.ibm.com/support/knowledgecenter/en/SS42VS_DSM/t_DSM_guide_OSSEC_cfg.html而是直接将日志发送到 qradar 我在两者之间放置了一个 logstash。