ossec选择性监控与完整系统监控？

Question

我在一个web服务器上使用ossec配置，该服务器为我的组织托管了一个非常关键的应用程序。我想知道如何使用ossec来监视系统的更改？

我刚开始使用ossec，但常识告诉我，如果我在监控每个文件(例如hosts、netstat输出)。在这种情况下，ossec是否提供了关于目标服务器指南的最佳实践(十大注意事项列表)，以帮助像我这样的人。

谢谢。

Answer 1

您感兴趣的似乎是OSSEC的完整性检查功能。您可以从查看http://www.ossec.net/doc/manual/syscheck/index.html中该特性的文档开始。文章最后有一些例子和常见问题解答部分。

尽管如此，OSSEC最强大的功能是日志聚合和分析，除了检查文件完整性外，您还可以密切关注web服务器的日志，以查找可能的错误。您还应该考虑在服务器上运行OSSEC代理，并将OSSEC服务器放在其他地方。有太多的考虑因素要在帖子中简要解释，如果你真的感兴趣，我建议你去看看这本书OSSEC Host-Based Intrusion Detection Guide，它不是太长，而且很详细。