Может ли кто-нибудь объяснить, как агент ossec в конфигурации активного ответа обнаруживает события или реагирует на них (например, попытка сканирования на коде состояния 404 веб-сервера).
Я знаю, что приведенный ниже блок xml на сервере запускает ответ на стороне агента. Но все правила хранятся в каталоге / root, а не в обычном каталоге установки агента. Помимо мониторинга журналов доступа к apache, у него нет сценария или регулярного выражения, которые сообщают нам, какой код состояния проверять.
Это что-то, что передается на лету между клиентом и сервером через порт UDP 1514? Пожалуйста, помогите мне понять это.
!-- Active response to block http scanning -->
<active-response>
<command>route-null</command>
<location>local</location>
<!-- Multiple web server 400 error codes from same source IP -->
<rules_id>31151</rules_id>
<timeout>600</timeout>
</active-response>
Именно так работает Ossec. Процитировать Документация Ossec:
OSSEC состоит из нескольких частей. В нем есть центральный менеджер, который контролирует все и получает информацию от агентов, системного журнала, баз данных и от устройств без агентов.
Таким образом, агенты Ossec «тупы» в том смысле, что они не принимают решений о блокировке / разблокировке самостоятельно. Они загружают все данные из указанных источников журналов (определенных в etc/shared/agent.conf) к серверу управления (определенному в etc/ossec.conf). Сервер управления анализирует записи журнала и предпринимает действия в соответствии с правилами, определенными в rules/ и, при необходимости, приказывает агентам выполнить заранее определенное действие (обычно блокировать / разблокировать IP-адрес).
Чтобы отслеживать парсинг журнала сервера управления ossec, вы можете, например, выполнить tail -f logs/alerts/alerts.log.
Если вы хотите игнорировать все 400 ошибок из журналов http, вы можете добавить следующее в свой rules/local_rules.xml на вашем сервере Ossec.
<rule id="100010" level="2">
<if_sid>31151</if_sid>
<description>Don't care about 400 errors</description>
</rule>
Вы всегда должны делать свои настройки в local_rules.xml файл и оставьте предоставленные декодеры (например, web_rules.xml) в одиночестве. Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, поскольку они зарезервированы специально для этого использования.