设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1849|回复: 0

ossec tips – 让报警显示ip所在地

[复制链接]

 成长值: 50910

发表于 2014-8-21 12:12 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x

OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。

在审计报警日志时,物理地址相对ip地址更能给予我们很直观的判断,而OSSEC默认只显示IP地址,但是通过编译配置,可使ossec显示ip对应地址,具体操作如下:

先下载MaxmindGeoIP 的API,使用C语言版(因为ossec是c语言开发的)。

  1. wget http://www.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
  2. tar xzvf GeoIP-1.4.8.tar.gz
  3. cd GeoIP-1.4.8
  4. ./configure
  5. make
  6. su
  7. make install
复制代码
若安装时,so文件未放入lib里面,需要手动配置链接,我是64bit系统所以执行:

  1. ln -s /usr/local/lib/libGeoIP.so /lib64/libGeoIP.so.1
复制代码

下载GeIP 数据库,并拷贝至OSSEC安装目录。

切记!!dat文件必须放在ossec安装目录的ETC下,别问为什么,OSSEC代码写死了。

  1. wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
  2. gzip -d GeoLiteCity.dat.gz
  3. wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
  4. gzip -d GeoLiteCityv6.dat.gz
  5. su
  6. cp GeoLiteCity*.dat /var/ossec/etc/
复制代码

以上为代码编译环境配置,现在需源码编译配置:

下载ossec源码,在make时,选择geoip选项,编译安装。

  1. cd src; makesetgeoip; cd ..;su;./install.sh
复制代码
配置/ossecpath/etc/ossec.conf文件,使系统支持GeoIP。
  1. <ossec_config>
  2. <global>
  3.     <!—配置 GeoIP 数据库地址-->
  4.        <geoip_db_path>/etc/GeoLiteCity.dat</geoip_db_path>
  5.         <geoip6_db_path>/etc/GeoLiteCityv6.dat</geoip6_db_path>
  6. </global>
  7.   <!--开启报警显示IP对应地址-->
  8. <alerts>
  9.     <!-- to add GeoIP info in alerts -->
  10.     <use_geoip>yes</use_geoip>
  11. </alerts>
  12. </ossec_config>
复制代码
配置etc/internal_options.conf文件,开启邮件显示IP对应地址。

  1. ------ update etc/internal_options.conf
  2. # Maild display GeoIP data (0=disabled,1=enabled)
  3. maild.geoip=1
复制代码

重启OSSEC即可。

Email效果图如下

1061408372674.png

alert效果如下:

91371408372677.png



随遇而安

来源:网络转载



[发帖际遇]: admin 捡了钱没交公 SB 降了 1 . 幸运榜 / 衰神榜
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表