ossec

1. 目的为了运维平台统一管理各类安全日志，需要统一优化后，再收集到ES中。然后，运维平台对安全数据的展示、监控和告警等。OSSEC（HIDS）是一个开源的入侵检测系统，它可以执行日志分析、完整性检测、Windows注册表监控、rootkit检测、实时报警及动态响应。2. HIDS防护对象防护对象统一使用运维平台CMDB中涉及的预发布环境和生产环境。3. 日志类型3.1 完整性检测3.1.1 完整

1. 目的方便运维人员、系统管理员和安全人员,快速掌握 OSSEC HIDS 的部署及使用,特此编写本指导。2. 概述本文从 OSSEC 的部署到高级使用方面进行编写,由浅入深。3. 功能OSSEC 属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。OSSEC 是一款开源的多平台的入侵检测系统,可以运行于 Windows, Linux, OpenB

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/installation/installation-requirements.htmlOSSEC安装要求 对于UNIX系统，OSSEC只需要gnu make、gcc和libc。OpenSSL是一个建议但可选的前提条件。

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/installation/updates.htmlOSSEC更新 更新OSSEC是非常容易的

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/ossec-architecture.htmlOSSEC架构 OSSEC是由多个部分组成的。它有一个中央管理器，用于监视和接收来自代理、syslog、数据库和无代理设备的信息。 管理节点(或服务器)

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/installation/index.htmlOSSEC安装 安装要求 Ubuntu RedHat Debian 管理/代理安装 Windows代理安装（OSSEC只支持Windows系统作为代理，并且需要OSSEC服务器来运行。）

OSSEC管理/代理安装 安装OSSEC HIDS非常简单，安装。sh shell脚本自动化了大部分内容。在安装完成之前，有几个问题需要回答，最重要的是需要哪种类型的安装。选择正确的安装类型是很重要的：服务器、代理、本地或混合。

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/non-technical-overview.html开始使用OSSEC OSSEC是一个监视和控制系统的平台。它将HIDS(基于主机的入侵检测)、日志监视和安全事件管理(SIM) /安全信息和事件管理(SIEM)的所有方面整合在一个简单

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/installation/compile-ossec-mingw.html编译OSSEC MinGWOSSEC的Windows代理是使用MinGW编译的为Windows生成快照总是很痛苦的，因为它需要我打开我的Windows VM(慢)，把代码推到

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/installation/install-source-unattended.html OSSEC有能力编译和安装，而不需要安装。sh的交互。安装脚本可以从etc/preloaded-vars中收集问题的答案。

ossec installation官方手册：http://ossec-docs.readthedocs.org/en/latest/1.server and  agent :     # yum install mysql-devel postgresql-devel# wget -q -O - http://www.atomicorp.com/insta

安装web界面 analogi上面我们安装了ossec的服务端，并且为ossec添加了一个客户端，非常简单的一个环境，环境是搭建好了，可是目前这个环境如果我们要分析ossec的报警信息就太麻烦了，所以我们安装第三方的 web界面用来显示报警信息。[root@ossec-server ~]# wget https://github.com/ECSC/analogi/archive/master.zi

安装管理界面 ossec-wuiwget http://www.ossec.net/files/ossec-wui-0.X.tar.gz[root@db src]# tar xf ossec-wui-0.x.tar.gz [root@db src]# cd ossec-wui-0.x[root@db ossec-wui-0.x]# lsCONTRIB  css  htacces

翻译：http://ossec-docs.readthedocs.io/en/latest/index.html    基于OSSEC2.8.1版本    OSSEC是一个开源的基于主机的入侵检测系统。它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时报警和主动响应。

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/agent/index.htmlAgents 在OSSEC中有两种类型的代理:可安装代理和无代理代理。安装代理安装在主机上，然后通过OSSEC加密消息协议向中央OSSEC服务器报告。无代理代理不需要在远程主机上安装。

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/testing.html测试OSSEC规则/解码器 大多数人在解决OSSEC或尝试编写新规则和解码时的第一个问题是如何测试它们。在过去，这需要手动重新启动OSSEC，或者创建一个测试安装。在版本1.6中

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/installation/installation-binary.htmlOSSEC二进制安装 OSSEC通常是在安装的每个系统上进行编译，但这并不总是容易的。为了帮助这些情况，有一些二进制安装的方法可用。

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/index.html手册 开始使用OSSEC 优点 特性 OSSEC架构 管理节点(或服务器) 代理 无代理 虚拟化/ VMware 防火墙、交换机和路由器

配置OSSEC SYSLOG 输出 （所有agent）编辑ossec.conf 文件（默认为/var/ossec/etc/ossec.conf）在ossec.conf中添加下列内容（10.0.0.1 为 接收syslog 的服务器）<syslog_output>   <server>10.0.0.1</server> 

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-management.htmlAgent管理 要将代理添加到带有manage_agents的OSSEC管理器中，您需要遵循下面的步骤。 在OSSEC服务器上运行manageagents。