Minun viimeinen viesti asensimme Logwatch sekä OSSEC. Nyt on aika saada Logwatch ja OSSEC pelaa samassa hiekkalaatikossa. Tämän jälkeen tulen keskustelemaan miten päästä Logwatch yhteenvedon tiedot joudu tuottaman OSSEC.

Asennusvaihtoehdot

Meillä on kaksi polkua voimme seurata teet asetukset:

1. Onko Logwatch jäsentää OSSEC lokit suoraan.
2. Ovatko OSSEC lähettää hälytyksiä Syslog tyypin palvelin sitten suorittaa Logwatch on lokipalvelin.

Hyöty optio # 1 on, että tarvitsemme vain yhden järjestelmän. Logwatch ajetaan järjestelmässä hosting OSSEC palvelimelle. Ongelma aiomme törmätä kuitenkin liittyy OSSEC hälytys tiedoston. Lokitietoihin älä jää ennalleen. Tämä tarkoittaa muoto voi muuttua pääse pääsy, ja se voi jopa jakaa usealle riville. Se tulee olemaan todellinen painajainen luoda Logwatch komentosarjan, joka suodattaa ja yhteenveto ilmoituksilla.

Jos me mennä optio # 2, vaadimme toinen laatikko joka toimii keskitetyn hakkuita palvelimelle. Jotta OSSEC palvelinta vastaan ​​lokimerkintöjä ei-aine, sitä ei kuunnella on UDP/514. Tämä on sama käyttämä portti keskitetysti hakkuiden palvelinta, etkä voi olla kaksi hakemusta sama portti (paitsi Windows, mutta pistorasia pääsy on erittäin sotkuinen). Hyvänä puolena, hälytys merkinnät saavat normalisoidaan, kun ne siirretään lokipalvelin näin luoda Logwatch yhteenvedon käsikirjoitus on paljon helpompaa. Lisäksi Logwatch jo tietää standardin Syslog tiedostot, joten meillä on vähemmän räätälöintiä työtä.

Lopuksi mainitsin aiemmin viesti, joka OSSEC ei ole suunniteltu SIM. Tämä johtuu siitä ei tallenna kaikkea, vain tapahtumia, jotka tuottavat ilmoituksen. Joten olemme luultavasti menossa haluavat keskitetylle palvelimelle joka tapauksessa, ja on järkevää saada se tallentaa tietoja on tuottaman OSSEC.

Joten jos se kuulostaa Olen ohjaavat sinua kohti optio # 2, olette aivan oikeassa. Tämän sanoi, olen todella tulee kattaa optio # 1, koska se on paljon monimutkaisempi asetukset.

Suhtautuminen Date / Time Stamps

Katsele tärkeimmät OSSEC logfile ja sinun pitäisi nähdä seuraavanlainen:

[Root @ Fubar lokit] # tail -3 / var / ossec / logs / ossec.log

2010-02-18 12:32:05 ossec-rootcheck: INFO: Ending rootcheck scan.

2010-02-18 14:27:06 ossec-syscheckd: INFO: Starting syscheck scan.

2010-02-18 14:39:21 ossec-syscheckd: INFO: Ending syscheck scan.

Huomaa miten päivämäärä / aikaleima formatoitu. Tämä on erilainen kuin useimmissa sovelluksissa, niin ensimmäinen asia, meidän tarvitsee vain kertoa Logwatch miten käsitellä tätä muotoa. Meidän täytyy luoda skriptin, että voimme kutsua tarvittaessa joka ymmärtää muodossa yllä.

Aloita siirtymällä jaettuun scripts hakemistossa:

cd / usr / share / logwatch / scripts / jaettu

Käyttämällä mielimuokkaimellasi, luo tiedosto nimeltä "applylongdate":

vi applylongdate

Tässä on mitä tarvitset sisällä tiedoston. Voit vapaasti kopioida / liittää tältä sivulta:

Käytä Logwatch "juontaa";

my $ Debug = $ ENV {'LOGWATCH_DEBUG "} | | 0;

$ SearchDate = TimeFilter ('% Y /% m /% d% H:% M:% S');

if ($ debug> 5) {

print stderr "DEBUG: Inside ApplyLongDate ... \ n";

print stderr "DEBUG: Looking For". $ SearchDate. "\ N";

}

while (määritelty ($ ThisLine = <STDIN>)) {

if ($ ThisLine = ~ m / ^ $ SearchDate / o) {

print $ ThisLine = ~ s / ^ .... \ / .. \ / .. ..: ..: .. / /;

print $ ThisLine;

}

}

# Vi: shiftwidth = 3 Syntaksi = perl tabstop = 3 et

Kun olet tallentanut tiedoston, nyt täytyy asettaa käyttöoikeudet:

chmod 755 applylongdate

Määritä Log Files

Seuraavaksi meidän on kerrottava Logwatch missä OSSEC lokitiedostot sijaitsevat. Aina kun lisäät uusia lokitiedostot tai luoda uusia palveluja seuraamaan Logwatch, sinun tulee tehdä mukaiset muutokset / etc / logwatch hakemistosta. Aiomme luoda kaksi asetustiedostoja. Ensimmäinen käsittelee OSSEC viestejä, ja toinen käsittelee OSSEC hälytykset ja aktiivisia toimia muutoksiin.

Aloitetaan luomalla konfiguraatiotiedosto tärkeimpien OSSEC lokitiedosto:

cd / etc / logwatch / conf / lokitiedostot

vi ossec.conf

Tiedoston sisältö on kuin seurata:

Logfile = / var / ossec / logs / ossec.log

* ApplyLongDate =

Voit nyt tallentaa ja poistu tiedosto. Seuraavaksi luomme config tiedosto jäljellä lokitiedostojen:

vi ossec-alert.conf

Tämän tiedoston sisällön tulisi niin noudatettava:

Logfile = / var / ossec / logs / aktiivinen-responses.log

Logfile = / var / ossec / logs / ilmoitukset / alerts.log

Logfile = / var / ossec / logs / palomuuri / firewall.log

Kun olet valmis, tallenna ja poistu. Oletuskäyttöoikeuksia pitäisi hyväksyä meidän setup.

Määrittäminen OSSEC Palvelut

Seuraavaksi meidän on määriteltävä OSSEC palvelut ja selvittää, mitä me haluamme käyttää otsikon kun raportteja syntyy. Näin luodaan ensimmäinen tiedosto:

cd / etc / logwatch / conf / palvelut

vi ossec.conf

Tämän tiedoston sisällön on melko yksinkertainen:

Title = "OSSEC viestit"

Lokitiedoston = ossec

Kun olet valmis voit tallentaa ja poistua. Meidän on luotava yhden tiedoston tähän kansioon:

vi ossec-alert.conf

Tämän tiedoston sisällön pitäisi olla:

Title = "OSSEC hälytykset"

Logfile = ossec-hälytys

Kun olet valmis, tallenna ja poistu normaalisti.

Jäsentäminen Merkinnät

Seuraavaksi meidän on kerrottava Logwatch kuinka muotoilla lokitiedot sisällä raportin. Meidän on luotava räätälöinnin käsikirjoituksen kutakin palveluja. Aiomme aloittaa käyttämällä Logwatch mukana testikoodi, vain varmista, että kaikki toimii.

Aloita siirtymällä sopiva hakemistoon:

cd / etc / logwatch / scripts / palvelut

Käytä mielimuokkaimellasi luoda ensimmäinen käsikirjoitus:

vi ossec

Sisältöä kirjoitus olisi niin jälkeen:

#! / Bin / bash

# Tämä on niin mukavaa skripti, joka näyttää rivejä tulee

# Voidaan käsittely ja raportointi. Se tulee ensin näyttöön

# Vakio ympäristömuuttujat, ja se vie STDIN ja

# Dumpata sen takaisin ulos STDOUT.

# Nämä ovat standardin ympäristömuuttujat. Voit määritellä

# Enemmän palveluksessanne asetustiedostossa (ks. edellä).

echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"

echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Nyt ottaa STDIN ja dumpata se STDOUT

kissa

Nyt luoda toinen kirjoitus:

vi ossec-alert

ja sisältää täsmälleen sama sisältö:

#! / Bin / bash

# Tämä on niin mukavaa skripti, joka näyttää rivejä tulee

# Voidaan käsittely ja raportointi. Se tulee ensin näyttöön

# Vakio ympäristömuuttujat, ja se vie STDIN ja

# Dumpata sen takaisin ulos STDOUT.

# Nämä ovat standardin ympäristömuuttujat. Voit määritellä

# Enemmän palveluksessanne asetustiedostossa (ks. edellä).

echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"

echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Nyt ottaa STDIN ja dumpata se STDOUT

kissa

Lopuksi meidän on asetettava tarvittavat oikeudet:

chmod 755 ossec *

Testaus Setup

Helpoin tapa testata uusia asetuksia on komento:

logwatch | less

Jos haluat vain nähdä muutoksia, voit suorittaa raportin jokaisesta palvelusta, yksi kerrallaan:

logwatch-palvelu ossec | less

logwatch-palvelu ossec-hälytys | less

Muokata edelleen

Kun saat kaikki edellä työtä, voit keskittyä saamaan Logwatch suodattaa ja yhteenveto lokitiedot. Logwatch on melko joustava, ja voit muokata lähdön haluamallasi tavalla. Yksi mukavia asioita yllä testikoodi yläpuolella on, että se näyttää mitä sinun täytyy työskennellä. Joten hieman säännöllinen lauseke magic voit tehdä yhteenvetoja merkinnät kun katsoo tarkoituksenmukaisiksi. Joitakin ideoita, tarkista tiedostot alla:

/ Usr / share / logwatch / scripts / palvelut

Nämä ovat oletuksena yhteenveto skriptejä mukana Logwatch. Erityisesti vilkaista tiedostot "pam" ja "sshd". Ne ovat hyvin esimerkkejä sekä yksinkertaisia ​​ja monimutkaisia ​​yhteenveto suodattimia.

Kun kehität skriptejä, kiinnitä huomiota $ LOGWATCH_DETAIL_LEVEL "muuttuvan. Tämän ansiosta voit mukauttaa lähtötason raportin mukaan, kuinka paljon jaarittelu käyttäjä etsii. Esimerkiksi, kun olet vielä edellä palveluiden hakemistoon, suorita seuraava komento:

vähemmän sshd

Kun ensimmäinen sivu tiedoston sisältö näytetään, kirjoittaa:

/ Detail <Anna Key>

Kenoviiva antaa meidän etsiä tiedoston tietyn merkkijonon. Tässä tapauksessa etsimme sanaa "Detail". Kun painat Enter haku hyppää läpi tiedosto kunnes se etsii ensimmäisen esiintymän merkkijono. Siinä korostuvat myös hakumerkkijonoa. Ensimmäisessä ottelussa huomaat että kirjoittaja määritetty muuttuja "$ Detail" on sama kuin muuttuja $ LOGWATCH_DETAIL_LEVEL ". Tämä säästää heille kirjoittamista.

Paina nyt kenoviivaa näppäintä uudelleen sen jälkeen Enter. Tämä hypätä tiedoston seuraava esiintymä "Detail". Sinun pitäisi nähdä:

if ($ Detail> = 20) {

$ Käyttäjät {$ user} {$ host} {$ Method} + +;

} Else {

if ($ Host ~ / $ IgnoreHost /) {

$ Käyttäjät {$ user} {$ host} {"(kaikki)"} + +;

Huomaa kirjailija saa lisää tietoa, jos yksityiskohdat on määritetty 20 (puolessa välissä pieni ja keskisuuri) tai korkeampi. Pidä hyppy kautta tiedoston ja näet esimerkkejä myös kirjoittajan velkarahalla tätä tekniikkaa.

Nyt sivun alas tiedoston loppuun ja sinun pitäisi nähdä tämä lausunto:

Jos (avaimet% OtherList) {

print "\ n ** Ylivertainen Entries ** \ n";

print "$ _: $ OtherList {$ _} (s) \ n" foreach näppäimiä% OtherList;

}

Tämä osio on erittäin tärkeä, sillä se on viimeinen Haavi. Ajattele palomuurin politiikan hetkeksi. Useimmat meistä luodaan lopullinen sääntö, joka sanoo, "Jos en ole erikseen salli laskukierroksessa läpi, kieltää". Toisin sanoen, jos jotain odottamatonta tapahtuu, näin minä haluan sinua käsittelemään sitä.

Edellä mainittu palvelee samaa tarkoitusta jäsennettäessä lokitiedoston. Kaikki aiemmat "jos" lausuntoja yrittää sovittaa tietyn tekstin merkkijono lokitapahtuman jotta alustaa kunnolla. Tämä artikkeli sanoo: "Jos et ole vastaavaa ja painettu erityinen lokitapahtuman vielä, tulosta se on osio" ** Ylivertainen Entries ** ". Tämä vaihe on erittäin tärkeä, koska ilman sitä emme koskaan näe odottamattomia merkinnät. Se on odottamatonta merkinnät, jotka ovat luultavasti tärkein ja kiinnostavin.

Exec Yhteenveto

Sekä OSSEC ja Logwatch ovat erinomaisia ​​ilmainen työkaluja. OSSEC kunnostautuu varoittaa, kun tunnettu hyökkäys kuvio tapahtuu. Logwatch on loistava työkalu yhteenvedon aika kimpale lokit jotta ihmiset voivat itse tehdä tunnetta mitä tapahtuu. Yhdistämällä nämä kaksi työkaluilla voit luoda paljon vakaampi puolustus syvällistä asennon. Koko tulee suuremmaksi kuin osien summa.

Liittyvien virkojen:

1. Yhdistämällä Logwatch ja OSSEC - Osa 3
2. Yhdistämällä Logwatch ja OSSEC - Osa 2
3. Yhdistämällä Logwatch ja OSSEC
4. Määrittäminen Security Information Management System-osa 6

• Previous Entry: yhdistäminen Logwatch ja OSSEC - Osa 3
• Next Entry: Ovatko virtualisoitu Systems enemmän tai vähemmän turvallinen?