Centos6.4 安裝ossec 2.7（1）

Ossec簡單介紹

Ossec是一款非常強的主機IDS(hids)，它可以幫我們分析日志，檢查文件完整性，檢查rootkit并且能夠實時報警和主動響應。另外ossec幾乎支持所有主流的操作系統，因為它是開源的，所以我們可以再ossec上面做二次開發跟我們已有的一些系統進行整合,比如zabbix，cacti。它的工作模式分為兩種:C/S模式和local模式。local模式可以單獨安裝到一臺機器上。本文將介紹C/S模式，這種模式在生產環境中最為適用。

Ossec的優點

開源

跨平臺

支持無客戶端模式

合規性需求

實時的和可配置的警報

集中管理

等等

Ossec的主要功能

日志分析

文件完整性檢查（UNIX和Windows）

rootkit檢測

Windows注冊表監測

基于UNIX的rootkit檢測

實時報警和主動響應

檢查磁盤空間及系統負載

檢測主機端口變化

支持nmap檢查端口開放及變更情況

可以檢測域名變化情況

等等

默認安裝在 /var/ossec/

主配置文件在 /var/ossec/etc/ossec.conf

×××存儲在/var/ossec/etc/decoders.xml

二進制文件 /var/ossec/bin/

所有的規則都在/var/ossec/rules/*.xml

警報存儲在 /var/ossec/logs/alerts.log

由多個進程控制（所有控制通過ossec-control）

Ossec Server服務器的進程

[root@localhost ~]# ps -ef |grep ossec

ossecm    5505     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-dbd

ossecm    5510     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-maild

root      5512     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-execd

ossec     5518     1  0 13:21 ?        00:00:12 /var/ossec/bin/ossec-analysisd

root      5522     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-logcollector

ossecr    5526     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-remoted

ossecr    5527     1  0 13:21 ?        00:00:01 /var/ossec/bin/ossec-remoted

root      5534     1  0 13:21 ?        00:00:18 /var/ossec/bin/ossec-syscheckd

ossec     5536     1  0 13:21 ?        00:00:00 /var/ossec/bin/ossec-monitord

[root@localhost ~]# /var/ossec/bin/ossec-control status

ossec-monitord is running...

ossec-logcollector is running...

ossec-remoted is running...

ossec-syscheckd is running...

ossec-analysisd is running...

ossec-maild is running...

ossec-execd is running...

ossec-dbd is running...

每個進程的任務

Analysisd – 做所有的分析（主程序）

Remoted – 從代理接收遠程日志

Logcollector –讀取日志文件（syslog，平面文件，Windows事件日志，IIS，等）

Agentd –轉發日志服務器

Maild – 發送電子郵件警報

Execd – 執行積極的反應

Monitord - 監視代理狀態下，壓縮和標志的日志文件，等

ossec-control 管理啟動和停止他們的所有

ossec local：普通日志故障分析流程

日志采集由ossec-logcollector做

分析和解碼是通過 ossec-analysisd 做

報警是通過ossec-maild 做

積極響應由 ossec-execd 做

client/server:客戶/服務器體系結構的通用日志分析流程

日志采集由ossec-logcollector做

分析和解碼是通過 ossec-analysisd 做

報警是通過ossec-maild 做

積極響應由 ossec-execd 做