OSSEC文档——过程监控

翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/process-monitoring.html


过程监控

概述
在OSSEC中,我们将一切都看作是一个日志,并按照我们的规则对它进行适当的解析。但是,有些信息在日志文件中是不可用的,但是我们仍然需要监视它。为了解决这一差距,我们增加了通过OSSEC监视命令输出的能力,并对这些命令的输出进行处理,就像它们是日志文件一样。
配置示例
磁盘空间利用率(df-h)


例如,如果您想要监视磁盘空间利用率,您需要设置一个cron作业,将df-h的输出转储到一个日志文件(可能是/var/log/df.log),并配置OSSEC来查看它。

OSSEC 2.3版本的您可以监视命令后直接在OSSEC配置(/var/ossec/etc/ossec.conf):
        

    command
    df -h
由于我们已经有了一个包含OSSEC的df-h的示例规则,当任何分区达到100%时,您将看到以下内容:

** Alert 1257451341.28290: mail - ossec,low_diskspace,
2009 Nov 05 16:02:21 (home-ubuntu) 192.168.0.0->df -h

Rule: 531 (level 7) -> "Partition usage reached 100% (disk space monitor)."
Src IP: (none)
User: (none)
ossec: output: 'df -h': /dev/sdb1 24G 12G 11G 100% /var/backup

平均负载(正常运行时间)示例


另一个例子是,如果您想要监视负载平均值,您可以配置OSSEC来监视“正常运行时间”命令,并在高于2时发出警告,例如:


    command
    uptime


在规则中(在/var/ossec/rules/local_rules.xml):

    530
    ossec: output: 'uptime': 
    load averages: 2.
    Load average reached 2..

当命令更改时发出警告
如果您想在日志或命令的输出发生变化时创建警告,请查看规则中的新选项(在最新的快照中可用)。


为了演示一个示例,我们将创建一个规则,以便在服务器上有一个新端口打开时发出警报。


首先,我们配置OSSEC来运行netstat -tan |grep LISTEN ,将以下内容添加到ossec.conf:

    full_command
    netstat -tan |grep LISTEN|grep -v 127.0.0.1
之后,我添加一条规则,当它的输出发生变化时,请注意:

    530
    ossec: output: 'netstat -tan |grep LISTEN
    
    Listened ports have changed.

请注意,我们使用了选项。第一次接收该事件时,它将存储在一个内部数据库中。每次它接收到相同的事件,它将与我们的存储进行比较,并且只有在输出发生变化时才会发出警报。
在我们的示例中,在配置OSSEC之后,我启动了netcat来监听端口23456,这是我得到的警告:

OSSEC HIDS Notification.
2010 Mar 11 19:56:30

Received From: XYZ->netstat -tan |grep LISTEN|grep -v 127.0.0.1
Rule: 140123 fired (level 7) -> "Listened ports have changed."
Portion of the log(s):

ossec: output: 'netstat -tan |grep LISTEN|grep -v 127.0.0.1':
tcp4       0      0 *.23456           *.*               LISTEN
tcp4       0      0 *.3306            *.*               LISTEN
tcp4       0      0 *.25              *.*               LISTEN
Previous output:
ossec: output: 'netstat -tan |grep LISTEN|grep -v 127.0.0.1':
tcp4       0      0 *.3306            *.*               LISTEN
tcp4       0      0 *.25              *.*               LISTEN


检测USB存储使用情况


Xavier Mertens写了一篇非常有趣的文章,在OSSEC上检测USB存储的使用情况。他使用了我们的策略审计模块,但是我认为使用我们的新checkdiff特性可以更轻松地使用USB监控。

首先,首先配置您的Windows代理,以使用reg命令监视USBSTOR注册表条目:

    
        full_command
        reg QUERY HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
    
接下来为该命令创建一个本地规则:


    530
    ossec: output: 'reg QUERY
    
    New USB device connected

几分钟后,您将在/var/ossec/queue/diff/[agent_name]/[rule_id]中看到该命令的当前快照。一旦有人添加了一个新的USB设备,你就会得到这个警告:
** Alert 1268687754.35062: mail  - local,syslog,
2010 Mar 15 18:15:54 (xx-netbook) any->reg QUERY HKLMSYSTEMCurrentControlSetEnumUSBSTOR
Rule: 140125 (level 7) -> 'New USB device connected'
Src IP: (none)
User: (none)
ossec: output: 'reg QUERY HKLMSYSTEMCurrentControlSetEnumUSBSTOR':! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_USB_Flash_Memory&Rev_5.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Generic&Prod_Flash_Disk&Rev_8.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Hitachi&Prod_HTS543225L9A300&Rev_
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_LEXAR&Prod_JD_FIREFLY&Rev_1100
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_SAMSUNG&Prod_HM160JC&Rev_0000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Sony&Prod_DSC&Rev_1.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_TomTom&Prod_ONE_XXL_IQ_Rts
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_USB_2.0&Prod_USB_Flash_Drive&Rev_0.00

Previous output:

ossec: output: 'reg QUERY HKLMSYSTEMCurrentControlSetEnumUSBSTOR':
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_USB_Flash_Memory&Rev_5.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Generic&Prod_Flash_Disk&Rev_8.07
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Hitachi&Prod_HTS543225L9A300&Rev_
HKEY_LOCAL_ACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_SAMSUNG&Prod_HM160JC&Rev_0000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_Sony&Prod_DSC&Rev_1.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_TomTom&Prod_ONE_XXL_IQ_Rts
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_USB_2.0&Prod_USB_Flash_Drive&Rev_0.00






你可能感兴趣的:(OSSEC)