OSSEC文档——日志监控/分析

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/index.html

日志监控/分析

日志分析(或日志检查)由日志收集和分析过程在OSSEC中完成。第一个收集事件，第二个进行分析(解码、筛选和分类)。

它是实时完成的，因此一旦事件被编写，OSSEC就会处理它们。OSSEC可以从内部日志文件中读取事件，从Windows事件日志中读取事件，也可以通过远程syslog直接接收这些事件。

日志分析是什么?

在OSSEC内部，我们称日志分析为一个LIDS，或基于日志的入侵检测。目标是使用日志检测攻击、误用或系统错误。

基于日志的入侵检测或安全日志分析是用于检测特定网络、系统或应用程序使用日志作为主要信息来源的攻击的过程或技术。检测软件误用、违规行为和其他不适当的活动也是非常有用的。

简要情况

日志监控的频率是多少?
实时。
事件分析在哪里?
管理端。
它们储存了多长时间?
只要您的策略决定（它是用户可配置的）。
这对我有什么帮助呢?
（PCI DSS，等等）它对PCI的整个section 10（日志监控）有所帮助。
它使用了多少CPU？
在代理上，它只使用很少的cpu/内存，因为它只读取事件并将它们转发给管理器。
在管理器上，它取决于每秒的事件数(EPS)。
它是如何处理误报的?
使用本地规则可以消除误报。

配置项

这些选项应该在每个代理的ossec.conf文件或共享文件指定。在标签中，您可以有以下选项。

localfile

location
指定要读取的日志的位置。strftime格式可以用于日志文件名。例如，一个名为file.log-2011-01-22的日志文件。可以参考file.log-%Y-%m-%d。通配符可以用于非windows系统。当使用通配符时，日志文件必须在 ossec-logcollector启动时存在。它不会自动开始监视新的日志文件。strftime和通配符不能在同一条目上使用。

默认：多个（如：/var/log/messages）
允许：任何日志文件

log_format
正在读取的日志的格式。

如果是单行日志，则使用syslog。

默认：syslog

允许：
syslog
这种格式是用一种类似于syslog-like格式的纯文本文件。它也可以在不支持日志格式的情况下使用，并且日志是单行消息。

snort-full
这用于Snort的全输出格式。

snort-fast
这用于Snort的快速输出格式。

squid
iis
eventlog
这是用于Microsoft Windows eventlog格式的。

eventchannel
这将用于Microsoft Windows eventlog，使用新的EventApi。这允许OSSEC监视标准的“Windows”事件日志和更多的“应用程序和服务”日志。这个支持在2.8中添加。

eventchannel不能在比Vista更早的Windows系统上使用。

mysql_log
这是用于MySQL日志的。它不支持多行日志。

postgresql_log
这是用于PostgreSQL日志的。它不支持多行日志。

nmapg
这用于监控符合nmap中可输出的输出的文件.

apache
这种格式适用于apache的默认日志格式。

command
此格式将是由命令定义的命令(由root运行)的输出。输出的每一行都将作为单独的日志处理。

full_command
此格式将是由命令定义的命令(由root运行)的输出。整个输出将被当作一个日志来处理。

command和full_command不能在代理中使用。必须在每个系统的ossec.conf中配置

djb-multilog
multi-line
该选项将允许对每个事件记录多行的应用程序进行监视。这种格式需要保持一致的行数。 multi-line:后面是每个日志条目中的行数。每一行将与前面的行合并，直到所有的行都被收集。在最终的事件中可能会有多个时间戳。

允许： multi-line: NUMBER

例如：
日志消息：

Aug  9 14:22:47 hostname log line one
Aug  9 14:22:47 hostname log line two
Aug  9 14:22:47 hostname log line three
Aug  9 14:22:47 hostname log line four
Aug  9 14:22:47 hostname log line five

通过ossec-analysisd分析后

Aug  9 14:22:47 hostname log line one Aug  9 14:22:47 hostname log line two Aug  9 14:22:47 hostname log line three Aug  9 14:22:47 hostname log line four Aug  9 14:22:47 hostname log line five

command

要运行的命令。该命令的所有输出将被读取为一个或多个日志消息，这取决于是否使用命令或full命令。

alias

识别该命令的别名。这将替换日志消息中的命令。
如：替换成usb-check 
原：

ossec: output: 'reg QUERY HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR':

现：

ossec: output: 'usb-check':

允许：任意字符串

frequency

命令运行之间的最小时间间隔。该命令可能不会完全运行每个频率秒，但是运行之间的时间不会比这个设置短。与command和full_command配合使用。

单位：秒

check_diff

事件的输出将存储在一个内部数据库中。每次接收到相同的事件时，输出都会与之前的输出相比较。如果输出发生了变化，将生成一个警告。

only-future-events

只用于eventchannel日志格式。默认情况下，当OSSEC启动事件通道日志格式时，将读取ossec-logcollector在最后一次停止时所错过的所有事件。为了防止这种行为，我们有可以设置only-future-events 为“yes”。当设置为yes时，OSSEC只会接收在log收集器开始后发生的事件。

                                
				  System
				  eventchannel
				  yes
				
			

query

只用于eventchannel日志格式。可以在事件模式之后指定XPATH查询（参见Microsoft的文档），以过滤OSSEC将处理的事件。

例如，以下配置只处理具有7040 ID的事件:

                                
				  System
				  eventchannel
				  Event/System[EventID=7040]
				

监控日志

在OSSEC中，它们是监视日志的两种主要方法:文件和过程。每个方法都有自己的页面和示例。