端正确与服务端通讯。在服务端创建客户端的操作刚才提到了,我们再看下分配KEY的操作:
****************************************
* OSSEC HIDS v2.5.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: test1, IP: 192.168.14.162
ID: 002, Name: test2, IP: 192.168.14.167
Provide the ID of the agent to extract the key (or '\q' to quit): 002
Agent key information for '002' is:
MDAyIHRlc3QyIDE5Mi4xNjguMTQuMTY3IGFhNTYxZjE0Mzc1ZTA3YzVmZWQ0NTQ2YmM5NjFlNGE
wMmNkOTk2YTk3OTE1YWMyNDE3OTNlOGIzMmU0OGNiMTk=
** Press ENTER to return to the main menu
将上面的密钥复制,然后在客户端导入就可以了,以下为在客户端导入的操作:
导入密钥之后,我们再启动 ossec 程序,/var/ossec/bin/ossec-control start 运行
一下就好,然后我们可以通过看日志/var/ossec/logs/ossec.log来看有没异常:
上面日志说明无法连接服务器,很可能是防火墙导致,排除后即可看到如下日志:
表明已经成功连上服务端的 1514 端口,同时在服务端看日志也能看到客户端连接上来
的信息:
2011/06/11 20:09:54 ossec-remoted(1409): INFO: Authentication file
changed. Updating.
2011/06/11 20:09:55 ossec-remoted(1410): INFO: Reading authentication keys
file.
2011/06/11 20:09:55 ossec-remoted: INFO: No previous counter available for
'test1'.
2011/06/11 20:09:55 ossec-remoted: INFO: Assigning counter for agent test1:
'0:0'.
2011/06/11 20:09:55 ossec-remoted: INFO: No previous sender counter.
2011/06/11 20:09:55 ossec-remoted: INFO: Assigning sender counter: 0:0
在服务端可以随时看客户端的状态,如下:
[root@as5664bitsec ossec-hids-2.5.1]# /var/ossec/bin/agent_control -l
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: as5664bitsec (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: test1, IP: 192.168.14.162, Never connected
ID: 002, Name: test2, IP: 192.168.14.167, Active
表明 192.168.14.167这台客户端处于活跃状态,而192.168.14.162则还没有连接过,
我们接下来在这台Windows机器上安装客户端。
安装 Windows 客户端
在 Windows上安装客户端更加容易,下载回来安装包直接双击,一直下一步就可以了。
安装过程中有个地方可以让你选择分析的日志,
默认会监控IIS的日志以及打开完整性检查,在没有IIS的机器上自然不需要开启,另
外建议在 web 访问量大的情况下也不要勾选IIS 日志。安装完之后运行ossec,会出现个小
窗口让你填写服务端IP以及分配的KEY
填上信息后点 save,然后可以点 Manage 菜单下的 restart,这个时候也可以点 view
菜单 view logs来看日志,看ossec是否正常工作,我们看到如下信息:
011/06/11 21:13:51 ossec-agent: INFO: Started (pid: 4004).
2011/06/11 21:13:52 ossec-agent(4102): INFO: Connected to the server
(192.168.14.207:1514).
2011/06/11 21:13:52 ossec-agent(1951): INFO: Analyzing event log:
'Application'.
2011/06/11 21:13:52 ossec-agent(1951): INFO: Analyzing event log: 'Security'.
2011/06/11 21:13:52 ossec-agent(1951): INFO: Analyzing event log: 'System'.
说明已经连上服务端,而且agent 会分析系统日志包括系统、应用程序、安全日志。这
也意味着我们如果想利用好ossec,得在 windows机器上开启审核策略,这样就会有比较详
细的系统日志。点 view 菜单下的 View Config 则可以看到客户端相关的配置比如监控与忽
略的目录、注册表项等情况。在服务端上我们可以看到该客户端目前处于活跃状态:
[root@as5664bitsec ossec-hids-2.5.1]# /var/ossec/bin/agent_control -l
OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: as5664bitsec (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: test1, IP: 192.168.14.162, Active
ID: 002, Name: test2, IP: 192.168.14.167, Active
安装 web 管理界面
当客户端连上服务端的时候,就会把日志送到服务端,而ossec会对这些日志进行解码、 |