我在网络服务器匹配上使用ossec配置,它为我的组织托管一个非常关键的应用程序。我想知道如何使用ossec来监控对系统的更改?
我是ossec使用的新手,但常识是说我监视每个文件(例如主机,netstat输出)。在这种情况下,ossec提供了有针对性的服务器指南的最佳实践(需要观察的十大列表),以帮助像我这样的人。
感谢。
答案 0 :(得分:0)
您感兴趣的是OSSEC的完整性检查功能。您可以先查看http://www.ossec.net/doc/manual/syscheck/index.html中该功能的文档。它有一些例子和最后的FAQ部分。
尽管如此,OSSEC最强大的功能是日志聚合和分析,除了检查文件完整性之外,您还可以关注Web服务器的日志以查找可能的错误。您还应该考虑在服务器上运行OSSEC代理,并将OSSEC服务器放在其他位置。在一篇文章中有太多的考虑要简要解释,如果你真的很感兴趣我会建议你接受这本书OSSEC Host-Based Intrusion Detection Guide,它不会太长而且非常详细。