OSSEC(HIDS)安装与使用(ubuntu16.04)

OSSEC是一个监控和控制系统的平台。它将HIDS（基于主机的入侵检测），日志监控，安全事件管理（SIM）/安全信息和事件管理（SIEM）的所有方面混合在一起，形成一个简单，强大且开源的解决方案。

0.主要功能

功能	详细描述
文件完整性检查	检测任何文件，目录或注册表更改，它可能是攻击，也可能是员工的误用，甚至是管理员的错误
日志监控	对操作系统，应用程序和设备的日志进行收集，分析和关联，检测可疑事件（攻击，误用，错误等），例如当有人安装了应用程序或者更改了防火墙中的规则
Rootkit检测	犯罪黑客希望隐藏他们的行为，但是使用rootkit检测时，可以在以rootkit共有的方式修改系统时通知您
主动响应	主动响应允许OSSEC在触发指定警报时立即采取措施。这可以防止事件在管理员采取行动之前传播

1.下载安装包

wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

2.安装

tar -zxvf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
./install.sh

3.启动

/var/ossec/bin/ossec-control start

4.日志文件

日志文件

5.添加需要监控的日志

nano /var/ossec/etc/ossec.conf

修改/var/ossec/etc/ossec.conf配置文件，在其中添加要监控的文件。