Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit : > Personnellement c'est aussi une installation local (1 seul post) que > j'aurais à faire, > je ne sais pas si je peux te demandé un petit morceau de log (histoire > de voir si il est aussi performant qu'il en a l'aire) > avec les sortes d'attaque et les parades qu'il a intreprit (que tu as > paramétré) > (si par exemple les scan de ports son enregistré avec l'IP de > l'attaquant? si il est possible de faire d'autre notification que par > mail?) En brût pour les premiers 12 h de tests...
[EMAIL PROTECTED] lolo]# tail -f /var/ossec/logs/active-responses.log jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 201.236.4.225 1169145163.509834 3302 Pour /var/ossec/logs/ossec.log il ne produit pas grand chose sauf si tu mets dans /var/ossec/etc/internal_options.conf: # Windows debug (used by the windows agent) windows.debug=1 # Syscheck (local, server and unix agent) syscheck.debug=1 # Remoted (server debug) remoted.debug=1 # Analysisd (server or local) analysisd.debug=1 # Log collector (server, local or unix agent) logcollector.debug=1 redémarre ossec : /etc/init.d/ossec restart
