Minun viimeinen viesti asensimme Logwatch sekä OSSEC. Nyt on aika saada Logwatch ja OSSEC pelissä samassa hiekkalaatikossa. Tässä post tulen keskustelemaan, miten saada Logwatch yhteenvedon tiedot ovat tuottaman OSSEC.
Asennusvaihtoehdot
Meillä on kaksi polkuja voimme seurata teet asetukset:
- Onko Logwatch jäsentää OSSEC lokit suoraan.
- Onko OSSEC lähettää hälytyksiä Syslog tyyppi palvelimeen, suorita Logwatch siitä lokipalvelin.
Hyötyä optio # 1 on, että tarvitsemme vain yksi järjestelmä. Logwatch ajetaan järjestelmässä hosting OSSEC palvelimelle. Ongelma aiomme törmätä kuitenkin liittyy OSSEC hälytys tiedosto. Kirjaudu merkinnät eivät saa normalisoitunut. Tämä tarkoittaa muoto voi muuttua pääse pääsy, ja se voi jopa jakaa usealle riville. Se tulee olemaan todellinen painajainen luoda Logwatch komentosarjan, joka suodattaa ja yhteenveto ilmoituksilla.
Jos me mennä optio # 2, vaadimme toinen laatikko toimimaan Keskitettyjen kirjautumalla palvelimelle. Jotta OSSEC palvelin hyväksy lokitiedot ei-agentti järjestelmiä, se on kuuntelemaan UDP/514. Tämä on sama käyttämä portti keskitetysti kirjautumalla palvelimelle, ja et voi olla kaksi hakemusta sama portti (paitsi Windows, mutta socket-yhteys on erittäin sotkuinen). Hyvänä puolena, hälytys merkinnät saavat normalisoitui, kun ne siirretään lokipalvelin näin ollen syntyy Logwatch yhteenveto skripti on paljon helpompaa. Lisäksi Logwatch jo tietää standardin Syslog tiedostoja, joten meillä on vähemmän räätälöintiä työtä.
Lopuksi mainitsin aiemmin viesti, joka OSSEC ei ole suunniteltu SIM. Tämä johtuu siitä ei tallenna kaikkea, vain tapahtumia, jotka tuottavat hälytys. Joten olemme luultavasti menossa halua keskitetylle palvelimelle joka tapauksessa, ja on järkevää olla se tallentaa tiedot ovat tuottaman OSSEC.
Joten jos se kuulostaa Olen ohjausryhmän sinua kohti optio # 2 Olet täysin oikeassa. Tämän sanoi, olen todella tulee kattaa optio # 1, koska se on paljon monimutkaisempi setup.
Suhtautuminen pvm / aikaleimat
Tutustu tärkein OSSEC lokitiedostoon ja sinun pitäisi nähdä seuraavanlainen:
[Root @ Fubar lokit] # tail -3 / var / ossec / logs / ossec.log
18.02.2010 12:32:05 ossec-rootcheck: INFO: Ending rootcheck skannata.
18.02.2010 14:27:06 ossec-syscheckd: INFO: Starting syscheck skannata.
18.02.2010 14:39:21 ossec-syscheckd: INFO: Ending syscheck skannata.
Huomaa miten päivämäärä / aikaleima on alustettu. Tämä on erilainen kuin useimmat sovellukset, joten ensimmäinen asia, joka meidän tulee tehdä, on kertoa Logwatch miten käsitellä tätä muotoa. Meidän täytyy luoda skriptin, että voimme soittaa tarvittaessa joka ymmärtää muodossa yllä.
Aloita siirtymällä jaettu scripts hakemistossa:
cd / usr / share / logwatch / scripts / jaettu
Käyttämällä mielimuokkaimellasi, luo tiedosto nimeltä "applylongdate":
vi applylongdate
Tässä on mitä tarvitset sisällä kyseisen tiedoston. Voit vapaasti kopioida / liittää tältä sivulta:
käyttää Logwatch ": päivämäärät";
my $ Debug = $ ENV {'LOGWATCH_DEBUG "} | | 0;
$ SearchDate = TimeFilter ('% Y /% m /% d% H:% M:% S ");
if ($ Debug> 5) {
Tulosta stderr "DEBUG: Inside ApplyLongDate ... \ n";
Tulosta stderr "DEBUG: Looking For:". $ SearchDate. "\ N";
}
while (määritelty ($ ThisLine = <STDIN>)) {
if ($ ThisLine = ~ m / ^ $ SearchDate / o) {
print $ ThisLine = ~ s / ^ .... \ / .. \ / .. ..:..:.. / /;
print $ ThisLine;
}
}
# VI: shiftwidth = 3 syntaksi = perl tabstop = 3 et
Kun olet tallentanut tiedoston, meidän täytyy nyt asettaa käyttöoikeudet:
chmod 755 applylongdate
Määritä Lokitiedostot
Seuraavaksi meidän täytyy kertoa Logwatch jossa OSSEC lokitiedostot sijaitsevat. Aina kun lisäät uusia lokitiedostot tai luoda uusia palveluja seuraamaan Logwatch, sinun tulee tehdä muutoksia alla / etc / logwatch hakemistosta. Aiomme luoda kaksi asetustiedostoja. Ensimmäinen käsittelee OSSEC viestejä, ja toinen käsittelee OSSEC hälytykset ja aktiivinen vaste muuttuu.
Aloitetaan luomalla konfigurointitiedostoa tärkein OSSEC lokitiedosto:
cd / etc / logwatch / conf / lokitiedostot
vi ossec.conf
Tiedoston sisältö pitäisi olla seuraa:
Logfile = / var / ossec / logs / ossec.log
* ApplyLongDate =
Voit nyt tallentaa ja poistua tiedosto. Seuraavaksi luomme config tiedostosta jäljellä lokitiedostot:
VI ossec-alert.conf
Tämän tiedoston sisällön pitäisi olla seuraa:
Logfile = / var / ossec / logs / aktiivinen-responses.log
Logfile = / var / ossec / logs / ilmoitukset / alerts.log
Logfile = / var / ossec / logs / palomuuri / firewall.log
Kun olet valmis, tallenna ja poistu. Oletuskäyttöoikeuksia pitäisi hyväksyä meidän setup.
Konfigurointi OSSEC Palvelut
Seuraavaksi meidän on määriteltävä OSSEC palvelut ja selvittää, mitä haluamme käyttää nimenä, kun raportteja syntyy. Näin voit luoda ensimmäisen tiedoston:
cd / etc / logwatch / conf / palvelut
vi ossec.conf
Tämän tiedoston sisällön on melko yksinkertainen:
Title = "OSSEC viestit"
Logfile = ossec
Kun olet valmis voit tallentaa ja poistua. Meidän on luotava yksi tiedosto tähän hakemistoon:
VI ossec-alert.conf
Tämän tiedoston sisällön pitäisi olla:
Title = "OSSEC hälytykset"
Logfile = ossec-hälytys
Kun olet valmis, tallenna ja poistu normaalisti.
Jäsennys Merkinnät
Seuraavaksi meidän täytyy kertoa Logwatch kuinka muotoilla lokitiedot sisällä raportti. Meidän on luotava räätälöinnin käsikirjoitus kullekin laajemman palveluvalikoiman. Aiomme aloittaa käyttämällä Logwatch mukana testikoodi, vain varmista, kaikki toimii.
Aloita siirtymällä asianmukainen hakemisto:
cd / etc / logwatch / scripts / palvelut
Käytä mielimuokkaimellasi luomaan ensimmäinen käsikirjoitus:
vi ossec
Sisältö käsikirjoituksen pitäisi olla seuraa:
#! / Bin / bash
# Tämä on niin mukavaa skripti, joka näyttää sinulle linjat tulet
# Voidaan käsittely ja raportointi. Se ensimmäinen näyttö
# Vakio ympäristömuuttujat ja kestää STDIN ja
# Dumpata sen takaisin ulos STDOUT.
# Nämä ovat standardin ympäristömuuttujat. Voit määritellä
# Enemmän palveluksessasi config tiedosto (ks. edellä).
echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"
echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"
echo "Temp Dir: $ LOGWATCH_TEMP_DIR"
echo "Debug Level: $ LOGWATCH_DEBUG"
# Nyt ottaa STDIN ja dumpata se STDOUT
kissa
Nyt Luo Toisella koodilla:
VI ossec-hälytys
ja sisältää täsmälleen sama sisältö:
#! / Bin / bash
# Tämä on niin mukavaa skripti, joka näyttää sinulle linjat tulet
# Voidaan käsittely ja raportointi. Se ensimmäinen näyttö
# Vakio ympäristömuuttujat ja kestää STDIN ja
# Dumpata sen takaisin ulos STDOUT.
# Nämä ovat standardin ympäristömuuttujat. Voit määritellä
# Enemmän palveluksessasi config tiedosto (ks. edellä).
echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"
echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"
echo "Temp Dir: $ LOGWATCH_TEMP_DIR"
echo "Debug Level: $ LOGWATCH_DEBUG"
# Nyt ottaa STDIN ja dumpata se STDOUT
kissa
Lopuksi meidän on asetettava tarvittavat oikeudet:
chmod 755 ossec *
Testaus Setup
Helpoin tapa testata uuden asennuksen on ajaa komento:
logwatch | less
Jos haluat vain nähdä muutokset, voit suorittaa raportin kunkin palvelun, yksi kerrallaan:
logwatch-palvelu ossec | less
logwatch-palvelun ossec-hälytys | less
Muokata edelleen
Kun saat kaikki edellä toimii, voit keskittyä saamaan Logwatch suodattaa ja tiivistää lokitiedot. Logwatch on melko joustava, ja voit muokata lähtö haluamallasi tavalla. Yksi mukavia asioita edellä testikoodi yläpuolella on, että se näyttää sinulle täsmälleen, mitä sinun täytyy työskennellä. Joten hieman säännöllinen lauseke magic voit tehdä yhteenvetoja merkinnät kun pitävät asianmukaisina. Joillekin ideoita, tutustu tiedostojen alla:
/ Usr / share / logwatch / scripts / palvelut
Nämä ovat oletuksena yhteenveto skriptejä mukana Logwatch. Erityisesti on tarkasteltava tiedostot "pam" ja "sshd". Ne ovat erinomaisia esimerkkejä sekä yksinkertaisia ja monimutkaisia yhteenveto suodattimia.
Kun kehität skriptejä, kiinnitä huomiota $ LOGWATCH_DETAIL_LEVEL "muuttuja. Tämän ansiosta voit muokata lähtötasoa raportin riippuen siitä kuinka paljon näyttötaso käyttäjä etsii. Esimerkiksi kun olet vielä edellä palveluiden hakemistoon, suorita seuraava komento:
vähemmän sshd
Kun ensimmäisen sivun tiedoston sisältö näytetään, kirjoita:
/ Detail <Anna Key>
Kenoviiva auttaa meitä etsiä tiedoston tietyn merkkijonon. Tässä tapauksessa Etsimme sana "Detail". Kun painat Enter haku hyppää läpi tiedosto kunnes se löytää ensimmäisen oikeusasteen merkkijono. Siinä korostuvat myös hakumerkkijonon. Ensimmäisessä ottelussa huomaat, että kirjailija määritetty muuttujaan "$ Detail" olla sama kuin muuttuja $ LOGWATCH_DETAIL_LEVEL ". Näin pyritään säästämään heille joitakin kirjoittamalla.
Paina nyt kenoviiva näppäintä uudelleen sen jälkeen Enter-näppäintä. Tämä hyppää läpi tiedosto seuraavaan esiintymään "Detail". Sinun pitäisi nähdä:
if ($ tietoja> = 20) {
$ Käyttäjät {$ user} {$ host} {$ Method} + +;
} Else {
if ($ isäntä! ~ / $ IgnoreHost /) {
$ Käyttäjät {$ user} {$ host} {"(kaikki )"}++;
Huom kirjailija saa lisää tietoa, jos yksityiskohtien määrä on asetettu 20 (välissä pieni ja keskisuuri) tai korkeampi. Pidä hyppäämällä läpi tiedoston ja näet muita esimerkkejä, joissa kirjailija velkarahalla tätä tekniikkaa.
Nyt sivu alas tiedoston loppuun ja sinun pitäisi nähdä tämä lausunto:
if (avaimet% OtherList) {
print "\ n ** Ylivertainen Entries ** \ n";
print "$ _: $ OtherList {$ _} Aika (s) \ n" foreach avaimet% OtherList;
}
Tämä osio on erittäin tärkeä, koska se on lopullinen Haavi. Ajattele palomuurin politiikan hetkeksi. Useimmat meistä luoda lopullinen sääntö, joka sanoo, "Jos en ole erikseen salli laskukierroksessa läpi, kieltää". Toisin sanoen, jos jotain yllättävää tapahtuu, näin minä haluan teidän käsitellä sitä.
Lausumassa palvelee samaa tarkoitusta jäsennettäessä lokitiedostoon. Kaikki aiemmat "jos" lausunnot yrittää sovittaa tietyn tekstin merkkijono lokimerkintä jotta alustaa sen kunnolla. Tämä artikkeli sanoo "Jos et ole sovitettu ja painettu erityinen lokitapahtuman vielä, tulosta se on osio" ** Ylivertainen Entries ** ". Tämä vaihe on erittäin tärkeä, koska ilman sitä emme koskaan näe odottamattomia merkinnät. Se on odottamaton merkinnät, jotka luultavasti tärkein ja kiinnostavin.
Exec Yhteenveto
Sekä OSSEC ja Logwatch ovat erinomaisia ilmaisia työkaluja. OSSEC kunnostautuu varoittaa, kun tunnettu hyökkäys kuvio tapahtuu. Logwatch on loistava työkalu yhteenvedon aika kimpale lokit jotta ihmiset voivat todella saada tolkkua, mitä tapahtuu. Yhdistämällä kaksi työkalua voit luoda paljon vakaampi puolustus syvällistä asennon. Koko tulee enemmän kuin osiensa summa.
