问题标签 [ossec]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ids - OSSEC 将允许的字段从解码器添加到规则描述
我正在将 OSSEC 用于 HIDS。
我创建了一个自定义解码器并从日志中提取字段,如srcip、dstip和protocol。
这是使用 ./ossec-logtest 测试的日志
为日志编写的解码器是:
它的规则是:
这是 ossec-logtest 的结果
现在主要的问题是:
是否可以将解码器中的 srcip 添加到规则描述中,以便在引发警报时将其显示在描述中。
我对 ossec-logtest 阶段 3 的预期结果是:
mysql - 无法分析 OSSEC 中的 MySQL 错误日志
我正在尝试分析在我的 OSSEC 代理上生成的 MySQL 错误日志并使用 OSSEC 服务器发出警报。
这是添加到代理端/var/ossec/etc/ossec.conf的代码块,用于从代理读取MySQL的错误日志:
这样做之后,我重新启动了代理和服务器,但无法测试代理端生成的任何错误日志,例如:
根据警告下的文档https://ossec-docs.readthedocs.io/en/latest/docs/programs/ossec-logtest.html ,我们需要将 MySQL log: 添加到为 ossec-logtest 生成的日志中。
当我们将这些日志发送到 OSSEC 服务器以从代理进行分析时,这将自动添加。
ossec-logtest 在将 MySQL log: 添加到开头后工作正常,但它们不能实时工作。
谁能帮我解决这个问题。
logging - 日志中的 Wazuh 代理连接失败和损坏的有效负载错误
我已经给了 Wazuh manager IP 和用户名和密码。我在笔记本电脑上安装了 wazuh 代理,但它连接到 Manager IP。它没有返回授权密钥并在日志文件中抛出错误。
重要的提示:
我正在使用 VPS 并在其上安装 Wazuh 代理。错误是
amazon-ec2 - 安装了 OSSEC 的 aws 自动缩放 AMI
所以我们用我们自己的 ami 创建了一个自动缩放组,该 ami 有一个服务器和一个自动 ossec 服务,它向 slack 通道报告,问题是当一个新实例启动时,ossec 会发送很多警报,因为文件签名不同,这没关系,因为当启动新实例时,它会在新卷中重新创建 ami。
现在我如何在这些 ami 中安装 ossec,但是当启动一个新实例时,文件中的所有警报都没有更改。
我尝试在启动新实例时重新启动 ossec 服务,但它具有相同的行为,ossec 发送所有文件已更改的警报。
bash - 如何在管理服务器上自动注册 OSSEC 代理 IP 地址?
我想自动化在 OSSEC 管理器服务器上注册 OSSEC 代理 IP 的过程。我已经探索了许多关于它的链接和文章,但他们到处都提到使用 /var/ossec/bin/manage_agents 通过提示输入 IP 值。我指的是以下链接进行设置:https ://www.digitalocean.com/community/tutorials/how-to-monitor-ossec-agents-using-an-ossec-server-on-ubuntu-14-04
xml - 没有在管理服务器上显示 OSSEC 代理的实际 IP 地址
ossec-authd我使用在管理服务器上注册代理 IP 的方法在管理服务器上添加了一个新代理,而无需交互式提示输入。我可以在管理服务器上添加一个代理,但它显示代理 IP 地址为IP: any. 我想查看代理的实际 IP 地址,IP: X.X.X.X而不是IP: any. 有没有可能的解决方案来解决这个问题?
macos - 在 mac 上安装 ossec 会出现 openssl 错误
我一直在尝试在 Mac 上安装 ossec。它给出了无法找到我能够修复的 OpenSSL 标头的错误。但现在,我正在ld: library not found for -lssl努力。
我试过什么?我尝试按照互联网上的建议设置环境变量。基本上,我碰壁了。这是我的 ~/.bash_profile 的相关部分。任何帮助,将不胜感激。谢谢!
splunk - 从 ossec 升级到 wazuh - “本地/独立”模式?
我目前在本地模式下运行 ossec 3.6 并将数据转发到 Splunk。我似乎在 wazuh 中找不到类似的东西——我错过了什么吗?我们真的不希望有一个经理,因为我们所有的数据都流向了 Splunk。我们希望继续以 Splunk 格式输出 ossec/wazuh 数据并直接发送到 Splunk。我已经用谷歌搜索并阅读了 wazuh 文档,但找不到任何解决此问题的内容。这可能吗?
ossec - wazuh manager - wazuh-db 无法启动
我正在运行 Wazuh 4.1.5 并仅在 Debian 10 机器上安装 Wazuh 管理器。启动 Wazuh 导致错误信息
就是这样。日志记录是否有调试模式?我的客户在“独立”模式下使用 Wazuh 管理器并使用 rsyslog 转发日志。没有安装代理。
我在 ossec.conf 上运行了 xmllint,它作为有效的 xml 返回。我不知道下一步该去哪里。TIA 寻求帮助。
ansible - 为什么要安装 Ossec 的代理/服务器模型?与无代理相反
在我工作的公司,我们为拥有数百台虚拟机的公司进行了大量托管。目前我正在通过 Ansible 自动化配置,我们想将 Ossec 添加到混合中。
与进行大量无代理安装相比,设置单独的 Ossec 服务器 VM 有什么好处?
- 我看到的主要好处是集中管理配置,但 Ansible 的清单已经为我们解决了这个问题,作为我们的单一事实来源。
- 我能想到的另一个好处是 Ossec 的代理可能会比无代理安装使用更少的资源,但我无法找到这方面的信息。
由于我们必须说服我们的客户租用额外的虚拟机(这不会太困难)来设置 Ossec 服务器,因此企业更容易进行无代理安装。
我错过了什么吗?