ホームページ >バックエンド開発 >PHPチュートリアル >Ossec 構成例
ossec.conf 構成ファイルを変更し、次の内容を追加します。
ディレクトリ check_all; = "はい" > /opt/web
ossec.conf構成ファイルを変更し、次のコンテンツを追加します;location> /var/log/nginx/error .log #web ログ パス
侵入検知>
侵入検知の目的を達成するために、ossec.conf 設定ファイルの
たとえば、特定のバックドアは /tmp ディレクトリに mcrootkit ファイルを生成します。次の内容を /var/ossec/etc/shared/rootkit_files.txt ファイルに追加します:
tmp /mcrootkit ! Bash ドア ::/rootkits/bashdoor.php
電子メール通知情報
OSSEC HIDS 通知 2015 Jul 07 18:19:14 受信者: (web-10-10-51-51) ) 10.10.51.51 ->rootcheck
ルール: 510 が起動されました (レベル 7) -> 「ホストベースの異常検出イベント (rootcheck)。」ログの部分:
ルートキット「/tmp/secrootkit」ファイルの存在により「Bash」が検出されました。 >>
# cat /var/ossec/rules/ddos_rules.xml
60 秒以内に同じ IP アクセスが php ファイルに 10 回を超えた場合、スクリプトをトリガーします
URL ID 31108 に一致するログ内の URL には、任意の php ファイルが含まれています
ルール ID 31108 の詳細な定義については、web_rules.xml ファイルを参照してください。
ルール>
説明: ルール ID 31108 は、一致する Web ログ 2x、3x アクセス コードです。 404、403、およびその他のエラー ページを効果的にフィルタリングする
ossec.conf 構成ファイルに、次の内容を追加します:
< ; コマンド
< ; /active-response >
カスタム ルール
ログに表示される admin_backdoor などのフィルタ文字列
test_rules.xml ファイルを ossec.conf 構成ファイルに追加します。
>
#vi /var/ossec/rules/test_rules.xml
設定デコーダー.xml ファイル
# cat /var/ossec/etc/decoder.xml
[root@ossec-server-10 -10-51-50 /var/ossec]# ./bin/ossec-logtest
2015/07/07 19:48:20 ossec -testrule: 情報: ローカル デコーダー ファイルを読み取り中です
2015/07/07 19:48:20 ossec-testrule: 情報: 開始されました (pid: 16189)。
ossec-testrule: 1 行に 1 つのログを入力します。
**フェーズ 1: 事前デコードが完了しました。
完全なイベント: 'admin_backdoor'ホスト名 : 'ossec-server-10-10-51-50'
プログラム名: '(null)'
ログ: 'admin_backdoor'
** フェーズ 2: デコードが完了しました。
デコーダー: 'admin_backdoor'
**フェーズ 3: フィルタリング (ルール) が完了しました。
ルール ID: '7777' #match ルール ID 8888レベル: '7'
説明: 'admin_backdoor access' #説明、上記で定義
**生成されるアラート