问题标签 [ossec]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
email - OSSEC 电子邮件通知发送电子邮件失败
尝试获取 ossec 功能时出现错误:电子邮件通知。在这种情况下,我使用了我的 Gmail 帐户。我已经尝试过本教程,但我无法从中收到任何电子邮件。我得到了带有 warn 的错误日志Mail not accepted by server
。它位于/var/ossec/logs/ossec.log
您可以看到下面的日志。
这是我的电子邮件配置,ossec.conf
位于/var/ossec/etc/ossec.conf
我已经填写了我<smtp_server>
的 to smtp.gmail.com
。什么都没有改变。它仍然在我的ossec.log
我怎样才能解决这个问题 ?我安装这个应用程序Ubuntu Server: 16.04
ossec - OSSEC HIDS 不能忽略基于主机名的规则
我试图忽略从某个主机触发的警报的 ossec 规则。syslog_rules.xml 文件中存在规则 5401:
如果触发此规则,则会生成 10 级警报级别以及一封电子邮件
我想在 local_rules.xml 文件中为此规则添加一个例外,如果发送警报的主机名是 ip-10-XX-XX-XX,则不会生成电子邮件警报。我已经能够在 local_rules.xml 中创建此规则:
当 myUserName 触发规则 5401 时,不会生成警报。根据 ossec 文档,我应该能够将 match 参数替换为:
然而这并不成功,当我触发规则 5401 时仍然会生成电子邮件警报
kibana - WAZUH 所有命令监视器
如何监控用户执行的每一个命令,即使是在 sudo 级别。我已经配置了审计规则,它们出现在 audit.logs 中,但我想及时查看从服务器到 Kibana/wazuh 管理器的每个命令。 在此处输入图像描述
configuration - 入侵检测系统 OSSEC
我按照https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/这个站点的过程配置了 OSSEC 。但是在配置之后,当我尝试 /var/ossec/bin/ossec-control restart 我得到了
ossec-monitord 未运行 .. ossec-logcollector 未运行 .. ossec-remoted 未运行 .. ossec-syscheckd 未运行 .. ossec-analysisd 未运行 .. ossec-maild 未运行 .. ossec-execd 未运行 .. OSSEC HIDS v2.9.0 停止启动 OSSEC HIDS v2.9.0(由 Trend Micro Inc. 提供)... OSSEC 分析:测试规则失败。配置错误。退出。
在logtest中,我得到了
读取 XML 文件“/var/ossec/etc/ossec.conf”时出错:XMLERR:元素“syscheck”未关闭。(第 252 行)。2018/05/22 15:20:59 ossec-testrule(1202):错误:“/var/ossec/etc/ossec.conf”中的配置错误。退出。
我在哪里可以解决问题?
logstash - NGINX 登录 WAZUH
我在我的设置中使用 NGINX,并在 IDS 中使用 wazuh。
我想检查 wazuh kibana 中的所有 nginx 日志(访问/错误)日志,但我无法这样做。
所有的日志都转发到“/var/ossec/logs/archives/archives.log”,在wazuh/kibana中是不可见的。
我是否必须在规则中添加任何更改。
rhel - 是否可以从 Wazuh 服务器远程启用/禁用规则?
我已阅读有关Wazuh 中的集中式配置的信息。但是可以在服务器中启用/禁用规则而不是在所有服务器中更改吗?
file - Ossec FIM 的目录
我是 Ossec 的新手,最近将它安装在我目前工作的公司的服务器上。
该服务器监控 80 台 Windows 7 代理机器。在这些代理机器上设置 Ossec 的主要目的是我们可以部署文件完整性监控。
现在回答我的问题;我应该监控什么样的目录?到目前为止,我只有 Ossec 默认提供的默认目录。我还将 FIM 添加到“System”和“System32”目录中。你会推荐我监控更多的目录或文件吗?
亲切的问候,
亚历克斯
azure - 在 Azure 中的 ubuntu linux 虚拟机上安装 OSSEC 的日志问题
我按照https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/在 Azure 中的 ubuntu linux 的虚拟机(节点)上安装了 OSSEC
OSSEC 已正确安装并运行,但当试图充当入侵者时,不会像系统日志、授权日志和警报那样生成日志。
当我尝试作为入侵者执行时,如何解决不生成日志的问题。
logstash - OSSEC 服务器或 wazuh 服务器到 Logstash 到 Qradar 管道
在我目前的实验室设置中,我几乎没有安装 ossec 代理并将日志发送到 ossec 服务器的 windows 机器和 linux 机器。从 OSSEC 服务器,我通过 syslog 输出将日志转发到 logstash。在logstash中我没有做任何修改,我只是将普通日志转发到qradar作为接收(我验证了它)。它有警报级别、规则和事件。但是在 qradar 中,它显示了单个日志源,即 logstash 服务器。从 logstash 我将日志作为 syslog 发送到 qradar。理想情况下,在 qradar 中,所有向 ossec 发送日志的机器都应该列在日志源中,但这并没有发生。我在这里做错了什么?任何帮助..我点击了这个链接https://www.ibm.com/support/knowledgecenter/en/SS42VS_DSM/t_DSM_guide_OSSEC_cfg.html而是直接将日志发送到 qradar 我在两者之间放置了一个 logstash。