There is quite a tool to facilitate the complex task of continuous monitoring of multiple servers: OSSEC HIDS.
Explain the installation of the server and the client (agent) OSSEC environments for GNU / Linux:
OSSEC Installation:
Download source code http://www.ossec.net/files/ossec-hids-2.0.tar.gz
Decompress it and go into the directory:
# Tar-HIDS zvxf ossec-2.0.tar.gz
# Cd ossec-HIDS-2.0
#. / Install.sh
Here are the language and type of installation (local, server, agent). Here are the installation location as e-mail address should be sent alerts. It also indicates whether we want to install the system integrity checking and rootkit detection as well as the active response to problems automatically, how to refuse connections (blocking usuarixs in hosts.deny or iptables), and enabling remote syslog (on UDP port 514).
By default if you install a server is configured to analyze the following records:
/ var / log / messages
/ var / log / auth.log
/ var / log / syslog
/ var / log / mail.info
/ var / log / dpkg.log
/ var/log/apache2/error.log
/ var/log/apache2/access.log
If you installed it in client mode (agent) to analyze:
/ var / log / messages
/ var / log / auth.log
/ var / log / syslog
/ var / log / mail.info
/ var / log / dpkg.log
To add any other record must be added to the file / var / ossec / etc / ossec.conf as entries of type localfile.
To add players to the server:
# / Var / ossec / bin / manage_agents
First add the new agent by entering the name, IP and ID, and then extract the key which is generated by the agent, with the option to respond to the e CID.
Now we must import the key of the server from the client. For this manage_agents run on the client machine:
# / Var / ossec / bin / manage_agents
After installation, we only start OSSEC HIDS is first on the server and then customers:
/ var / ossec / bin / ossec-control start
At the start (if you have installed as server) will start the following daemons:
ossec-maildir
ossec-execd
ossec-analysisd
ossec-logcollector
ossec-remote
ossec-syscheckd
ossec-monitord
And in client mode:
ossec-execd
ossec-agentd
ossec-logcollector
ossec-syscheckd
To stop:
/ var / ossec / bin / ossec-control stop
Now try to work correctly, causing an alert, which by default will go to / var / ossec / logs / alerts / where they are automatically organized by year, month and a daily log.
...................................................................
Existe una herramienta que facilitara bastante la compleja labor de monitorizacion continua de varios servidores: OSSEC HIDS.
Explicare la instalacion del servidor y el cliente (agente) OSSEC para entornos GNU/Linux:
Instalacion de OSSEC:
Descargamos el codigo fuente http://www.ossec.net/files/ossec-hids-2.0.tar.gz
Lo descomprimimos y entramos en el directorio:
# tar zvxf ossec-hids-2.0.tar.gz
# cd ossec-hids-2.0
# ./install.sh
Le indicamos el idioma y el tipo de instalacion (local, servidor, agente). Le indicamos la ubicacion de la instalacion y a que direccion de correo electronico deberan enviarse las alertas. Tambien indicamos si queremos instalar la comprobacion de integridad del sistema y la deteccion de rootkits, asi como la respuesta activa automatica ante problemas, el modo de rechazar las conexiones (bloqueando usuarixs en hosts.deny o en iptables), y la habilitacion de syslog remoto (en el puerto 514 UDP).
Por defecto si lo instalamos como servidor se configura el analisis de los siguientes registros:
/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log
/var/log/apache2/error.log
/var/log/apache2/access.log
Si lo instalamos en modo cliente (agente) analizara:
/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log
Para añadir algun otro registro se deben añadir al archivo /var/ossec/etc/ossec.conf como entradas del tipo localfile.
Para añadir agentes al servidor:
# /var/ossec/bin/manage_agents
Primero añadimos el nuevo agente, introduciendo el nombre, IP e ID, y seguidamente extraemos la clave que se genero en el agente, con la opcion e y respondiendo a la ID del cliente.
Ahora debemos importar la clave del servidor desde el cliente. Para ello ejecutamos manage_agents en la maquina cliente:
# /var/ossec/bin/manage_agents
Una vez terminada la instalacion, solamente nos queda iniciar OSSEC HIDS, primero en el servidor y despues en los clientes:
/var/ossec/bin/ossec-control start
Al iniciarlo (si lo hemos instalado como servidor) se inician los siguientes demonios:
ossec-maild
ossec-execd
ossec-analysisd
ossec-logcollector
ossec-remoted
ossec-syscheckd
ossec-monitord
Y en modo cliente:
ossec-execd
ossec-agentd
ossec-logcollector
ossec-syscheckd
Para detenerlo:
/var/ossec/bin/ossec-control stop
Ahora probamos que funciona correctamente, provocando una alerta, que por defecto ira a parar a /var/ossec/logs/alerts/, donde automaticamente se organizan por año, mes y un log cada dia.
No hay comentarios:
Publicar un comentario