OSSEC文档——过程监控

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/process-monitoring.html


过程监控

概述
在OSSEC中，我们将一切都看作是一个日志，并按照我们的规则对它进行适当的解析。但是，有些信息在日志文件中是不可用的，但是我们仍然需要监视它。为了解决这一差距，我们增加了通过OSSEC监视命令输出的能力，并对这些命令的输出进行处理，就像它们是日志文件一样。
配置示例
磁盘空间利用率（df-h）


例如，如果您想要监视磁盘空间利用率，您需要设置一个cron作业，将df-h的输出转储到一个日志文件(可能是/var/log/df.log)，并配置OSSEC来查看它。

OSSEC 2.3版本的您可以监视命令后直接在OSSEC配置(/var/ossec/etc/ossec.conf):
        

    command
    df -h

由于我们已经有了一个包含OSSEC的df-h的示例规则，当任何分区达到100%时，您将看到以下内容:

** Alert 1257451341.28290: mail - ossec,low_diskspace,
2009 Nov 05 16:02:21 (home-ubuntu) 192.168.0.0->df -h

Rule: 531 (level 7) -> "Partition usage reached 100% (disk space monitor)."
Src IP: (none)
User: (none)
ossec: output: 'df -h': /dev/sdb1 24G 12G 11G 100% /var/backup

平均负载(正常运行时间)示例


另一个例子是，如果您想要监视负载平均值，您可以配置OSSEC来监视“正常运行时间”命令，并在高于2时发出警告，例如:

    command
    uptime

在规则中(在/var/ossec/rules/local_rules.xml):

    530
    ossec: output: 'uptime': 
    load averages: 2.
    Load average reached 2..

当命令更改时发出警告
如果您想在日志或命令的输出发生变化时创建警告，请查看规则中的新选项(在最新的快照中可用)。


为了演示一个示例，我们将创建一个规则，以便在服务器上有一个新端口打开时发出警报。


首先，我们配置OSSEC来运行netstat -tan |grep LISTEN ，将以下内容添加到ossec.conf:

    full_command
    netstat -tan |grep LISTEN|grep -v 127.0.0.1

之后，我添加一条规则，当它的输出发生变化时，请注意：

    530
    ossec: output: 'netstat -tan |grep LISTEN
    
    Listened ports have changed.

请注意，我们使用了选项。第一次接收该事件时，它将存储在一个内部数据库中。每次它接收到相同的事件，它将与我们的存储进行比较，并且只有在输出发生变化时才会发出警报。
在我们的示例中，在配置OSSEC之后，我启动了netcat来监听端口23456，这是我得到的警告:

OSSEC HIDS Notification.
2010 Mar 11 19:56:30

Received From: XYZ->netstat -tan |grep LISTEN|grep -v 127.0.0.1
Rule: 140123 fired (level 7) -> "Listened ports have changed."
Portion of the log(s):

ossec: output: 'netstat -tan |grep LISTEN|grep -v 127.0.0.1':
tcp4       0      0 *.23456           *.*               LISTEN
tcp4       0      0 *.3306            *.*               LISTEN
tcp4       0      0 *.25              *.*               LISTEN
Previous output:
ossec: output: 'netstat -tan |grep LISTEN|grep -v 127.0.0.1':
tcp4       0      0 *.3306            *.*               LISTEN
tcp4       0      0 *.25              *.*               LISTEN

检测USB存储使用情况


Xavier Mertens写了一篇非常有趣的文章，在OSSEC上检测USB存储的使用情况。他使用了我们的策略审计模块，但是我认为使用我们的新checkdiff特性可以更轻松地使用USB监控。

首先，首先配置您的Windows代理，以使用reg命令监视USBSTOR注册表条目:

    
        full_command
        reg QUERY HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
    

接下来为该命令创建一个本地规则:

    530
    ossec: output: 'reg QUERY
    
    New USB device connected

几分钟后，您将在/var/ossec/queue/diff/[agent_name]/[rule_id]中看到该命令的当前快照。一旦有人添加了一个新的USB设备，你就会得到这个警告:

** Alert 1268687754.35062: mail  - local,syslog,
2010 Mar 15 18:15:54 (xx-netbook) any->reg QUERY HKLMSYSTEMCurrentControlSetEnumUSBSTOR
Rule: 140125 (level 7) -> 'New USB device connected'
Src IP: (none)
User: (none)
ossec: output: 'reg QUERY HKLMSYSTEMCurrentControlSetEnumUSBSTOR':! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_USB_Flash_Memory&Rev_5.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Generic&Prod_Flash_Disk&Rev_8.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Hitachi&Prod_HTS543225L9A300&Rev_
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_LEXAR&Prod_JD_FIREFLY&Rev_1100
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_SAMSUNG&Prod_HM160JC&Rev_0000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Sony&Prod_DSC&Rev_1.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_TomTom&Prod_ONE_XXL_IQ_Rts
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_USB_2.0&Prod_USB_Flash_Drive&Rev_0.00

Previous output:

ossec: output: 'reg QUERY HKLMSYSTEMCurrentControlSetEnumUSBSTOR':
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_USB_Flash_Memory&Rev_5.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Generic&Prod_Flash_Disk&Rev_8.07
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Hitachi&Prod_HTS543225L9A300&Rev_
HKEY_LOCAL_ACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_SAMSUNG&Prod_HM160JC&Rev_0000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Sony&Prod_DSC&Rev_1.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_TomTom&Prod_ONE_XXL_IQ_Rts
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_USB_2.0&Prod_USB_Flash_Drive&Rev_0.00