ossec tips – 让报警显示ip所在地

admin

OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析，全面检测，root-kit检测。

在审计报警日志时，物理地址相对ip地址更能给予我们很直观的判断，而OSSEC默认只显示IP地址，但是通过编译配置，可使ossec显示ip对应地址，具体操作如下：

先下载MaxmindGeoIP 的API，使用C语言版（因为ossec是c语言开发的）。

1. wget http://www.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
   
2. tar xzvf GeoIP-1.4.8.tar.gz
   
3. cd GeoIP-1.4.8
   
4. ./configure
   
5. make
   
6. su
   
7. make install

复制代码

若安装时，so文件未放入lib里面，需要手动配置链接，我是64bit系统所以执行：

1. ln -s /usr/local/lib/libGeoIP.so /lib64/libGeoIP.so.1

复制代码

下载GeIP 数据库,并拷贝至OSSEC安装目录。

切记！！dat文件必须放在ossec安装目录的ETC下，别问为什么，OSSEC代码写死了。

1. wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
   
2. gzip -d GeoLiteCity.dat.gz
   
3. wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
   
4. gzip -d GeoLiteCityv6.dat.gz
   
5. su
   
6. cp GeoLiteCity*.dat /var/ossec/etc/

复制代码

以上为代码编译环境配置，现在需源码编译配置：

下载ossec源码，在make时，选择geoip选项，编译安装。

1. cd src; makesetgeoip; cd ..;su;./install.sh

复制代码

配置/ossecpath/etc/ossec.conf文件，使系统支持GeoIP。

1. <ossec_config>
   
2. <global>
   
3.     <!—配置 GeoIP 数据库地址-->
   
4.        <geoip_db_path>/etc/GeoLiteCity.dat</geoip_db_path>
   
5.         <geoip6_db_path>/etc/GeoLiteCityv6.dat</geoip6_db_path>
   
6. </global>
   
7.   <!--开启报警显示IP对应地址-->
   
8. <alerts>
   
9.     <!-- to add GeoIP info in alerts -->
   
10.     <use_geoip>yes</use_geoip>
    
11. </alerts>
    
12. </ossec_config>

复制代码

配置etc/internal_options.conf文件，开启邮件显示IP对应地址。

1. ------ update etc/internal_options.conf
   
2. # Maild display GeoIP data (0=disabled,1=enabled)
   
3. maild.geoip=1

复制代码

重启OSSEC即可。

Email效果图如下

alert效果如下：

随遇而安

来源：网络转载