马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。 在审计报警日志时,物理地址相对ip地址更能给予我们很直观的判断,而OSSEC默认只显示IP地址,但是通过编译配置,可使ossec显示ip对应地址,具体操作如下: 先下载MaxmindGeoIP 的API,使用C语言版(因为ossec是c语言开发的)。 - wget http://www.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
- tar xzvf GeoIP-1.4.8.tar.gz
- cd GeoIP-1.4.8
- ./configure
- make
- su
- make install
复制代码 若安装时,so文件未放入lib里面,需要手动配置链接,我是64bit系统所以执行:
- ln -s /usr/local/lib/libGeoIP.so /lib64/libGeoIP.so.1
复制代码
下载GeIP 数据库,并拷贝至OSSEC安装目录。 切记!!dat文件必须放在ossec安装目录的ETC下,别问为什么,OSSEC代码写死了。 - wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
- gzip -d GeoLiteCity.dat.gz
- wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
- gzip -d GeoLiteCityv6.dat.gz
- su
- cp GeoLiteCity*.dat /var/ossec/etc/
复制代码
以上为代码编译环境配置,现在需源码编译配置: 下载ossec源码,在make时,选择geoip选项,编译安装。 - cd src; makesetgeoip; cd ..;su;./install.sh
复制代码 配置/ossecpath/etc/ossec.conf文件,使系统支持GeoIP。
- <ossec_config>
- <global>
- <!—配置 GeoIP 数据库地址-->
- <geoip_db_path>/etc/GeoLiteCity.dat</geoip_db_path>
- <geoip6_db_path>/etc/GeoLiteCityv6.dat</geoip6_db_path>
- </global>
- <!--开启报警显示IP对应地址-->
- <alerts>
- <!-- to add GeoIP info in alerts -->
- <use_geoip>yes</use_geoip>
- </alerts>
- </ossec_config>
复制代码 配置etc/internal_options.conf文件,开启邮件显示IP对应地址。
- ------ update etc/internal_options.conf
- # Maild display GeoIP data (0=disabled,1=enabled)
- maild.geoip=1
复制代码
重启OSSEC即可。 Email效果图如下
alert效果如下:
随遇而安 来源:网络转载
|