文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

GrayLog文章集锦

28 篇文章
1
使用Telegraf+GrayLog实现Linux业务系统服务异常时自动推送钉钉告警
2
GrayLog使用HTTP JSONPath方式调用微步在线云API识别威胁IP
3
使用GrayLog对PrometheusAlert推送的安全告警进行图形报表统计与分析
4
Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog
5
​数据采集神器Telegraf对接开源日志服务器GrayLog
6
利用GrayLog的output功能实现简单的GrayLog分布式级联
7
GrayLog+nxlog采集邮箱登录日志csv文件并实现邮箱异地登录钉钉机器人告警
8
只能使用UDP:514端口接收Syslog日志的两种解决方法
9
开源蜜罐Hfish的简单部署并接入到GrayLog
10
一键安装脚本实现快速部署GrayLog Server 4.2.10单机版
11
利用GrayLog告警功能实现钉钉群机器人定时工作提醒
12
Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析
13
CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
14
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
15
Linux防暴力破解工具Fail2ban的日志接入到GrayLog并实现GeoIP展示
16
Nginx访问日志接入GrayLog4.2.5并通过GeoIP展现访问者IP的地理位置信息
17
商业堡垒机对接GrayLog实现生产服务器高危命令钉钉机器人自动告警
18
使用腾讯云SSL证书为GrayLog Web接口配置nginx HTTPS/SSL反向代理
19
GrayLog中使用Prometheus Alert实现钉钉群机器人自动告警
20
Graylog4.2集群部署完整教程
21
GrayLog配置SSH暴力破解攻击日志告警并推送到钉钉机器人
22
【实践】GrayLog4.2使用webhook成功推送日志告警到钉钉群机器人
23
【已修复Log4j2漏洞】GrayLog安全版本4.2.3升级实践
24
利用pipeline实现GrayLog中用日志源IP地址区分主机
25
Graylog4.2+GeoIP2获取SSH暴力破解攻击者IP的地理位置信息
26
使用EVE-NG模拟山石网科防火墙syslog日志接入GrayLog4.1
27
开源日志管理系统Graylog之Sidecar功能实践
28
CentOS7下部署Graylog开源日志管理系统
清单首页GrayLog文章集锦文章详情
清单「GrayLog文章集锦13/28

CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

yuanfan2012·小厂搬砖

OSSEC 是一个可扩展、多平台、开源的基于主机的入侵检测系统 (HIDS)

OSSEC 拥有强大的关联和分析引擎,集成了日志分析、文件完整性监控、Windows 注册表监控、集中策略执行、rootkit 检测、实时警报和主动响应。它可以在大多数操作系统上运行,包括 Linux、OpenBSD、FreeBSD、MacOS、Solaris 和 Windows。

(图片可点击放大查看)

一、OSSEC Server服务端搭建

1、CentOS7操作系统基础环境配置

代码语言:javascript
复制
hostnamectl set-hostname ossecserver
systemctl restart rsyslog
sed -i 's/enable/disabled/g' /etc/selinux/config
setenforce 0

(图片可点击放大查看)

2、安装mariadb

代码语言:javascript
复制
yum install mariadb-server
systemctl start mariadb
systemctl enable mariadb
mysql_secure_installation 
netstat -anp | grep 3306

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

代码语言:javascript
复制
mysql -uroot -pMySQL_2022

create database ossec;
grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossec@localhost;
set password for ossec@localhost=PASSWORD('password');
flush privileges;

(图片可点击放大查看)

3、安装OSSEC-Server并导入MySQL schema

代码语言:javascript
复制
yum localinstall *.rpm

(图片可点击放大查看)

(图片可点击放大查看)

代码语言:javascript
复制
cd /usr/share/ossec/contrib/
 mysql -uroot -p ossec < mysql.schema

(图片可点击放大查看)

代码语言:javascript
复制
/var/ossec/bin/ossec-control enable database
cd /var/ossec/bin
./ossec-configure

(图片可点击放大查看)

4、配置文件中添加output数据库配置

代码语言:javascript
复制
cd /var/ossec/etc/
vim ossec-server.conf 
     <database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossec</username>
        <password>password</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>

(图片可点击放大查看)

代码语言:javascript
复制
cd /var/ossec/bin 
 ./ossec-control restart

(图片可点击放大查看)

(图片可点击放大查看)

5、添加客户端并生成Key

代码语言:javascript
复制
./manage_agents

(图片可点击放大查看)

二、OSSEC Agent客户端安装及配置

1、安装OSSEC-Agent

代码语言:javascript
复制
yum localinstall *.rpm

(图片可点击放大查看)

2、修改配置文件并启动客户端

代码语言:javascript
复制
cd /var/ossec/etc/
vim ossec-agent.conf
vim internal_options.conf 
cd /var/ossec/bin
touch /var/ossec/queue/rids/sender
./manage_agent 
./ossec-control restart

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

3、服务端确认Agent是否上线

代码语言:javascript
复制
/var/ossec/bin
./agent_control -lc

(图片可点击放大查看)

三、OSSEC-WUI Web服务启动

代码语言:javascript
复制
vi /etc/php.ini
systemctl restart httpd
systemctl enable httpd

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

四、配置CEF日志转发到Graylog

1、参考文章

代码语言:javascript
复制
https://github.com/Graylog2/graylog-guide-ossec

(图片可点击放大查看)

2、OSSEC-Server服务端添加syslog_output

代码语言:javascript
复制
vim /var/ossec/etc/ossec.conf
添加如下行
  <syslog_output>
    <server>192.168.31.232</server>
    <port>12000</port>
    <format>cef</format>
  </syslog_output>

(图片可点击放大查看)

代码语言:javascript
复制
/var/ossec/bin/ossec-control enable client-syslog
/var/ossec/bin/ossec-control restart

(图片可点击放大查看)

(图片可点击放大查看)

五、HIDS功能测试

1、例如暴力破解攻击测试

(图片可点击放大查看)

(图片可点击放大查看)

可以看到已经自动进行了封堵

(图片可点击放大查看)

2、系统完整性测试

(图片可点击放大查看)

(图片可点击放大查看)

六、Tips

1、验证MariaDB数据库是否正常对接

代码语言:javascript
复制
SELECT id,server_id,rule_id,level,timestamp,location_id,src_ip,dst_ip,src_port,dst_port,alertid,user FROM alert ;

(图片可点击放大查看)

2、配置文件排错时参考如下链接

代码语言:javascript
复制
https://ossec-list.narkive.com/bJiYSQh2/errors-in-ossec-clients
https://www.ossec.net/docs/
下一篇
举报

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

领券