OSSEC系列二——编写自己的DECODE(初级)

2012年11月7日 | 分类: Linux, 安全 | 标签:

OSSEC 之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID
会编写DECODE会对使用OSSEC 有很大的帮助。 这里会要用到OSSEC的一个测试命令 ossec-logtest.
这里编写一个简单的规则,遇到lion_00的时候,会产生一条ALERTID 为8888 严重度级别为7的报警信息。
首先是创建一个规则,在/var/ossec/rule 下创建一个testrule.xml 内容为:
//每一组rule 都要有group

lion //使用一个叫lion的decode
testrule //产生的告警信息

需要编写DECODE,在/var/ossec/etc/decoder.xml (默认安装目录)
//这里是不规范注释,decoder 名称 上面提到的lion

^lion_00 // 匹配的内容 如果是高级的DECODER 还会有很多参数

需要说明的是,最好将自己的decode 放到文件稍微靠上的位置。
这个时候,使用 /var/ossec/bin/ossec-logtest 输入lion_00 会看到

**Phase 1: Completed pre-decoding.
full event: ‘lion_00′
hostname: ‘IDC2103′
program_name: ‘(null)’
log: ‘lion_00′

**Phase 2: Completed decoding.
decoder: ‘lion’

**Phase 3: Completed filtering (rules).
Rule id: ’8888′
Level: ’7′
Description: ‘testrule’
**Alert to be generated.

ok 成功。。。。

Written by LION

目前还没有任何评论.
注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。