Re: question IDS , reponse: ossec

[EMAIL PROTECTED] Thu, 18 Jan 2007 15:03:09 -0800

Effectivement (j'ai testé) il est très bien.

http://www.ossec.net/wiki/index.php/Log_Samples_IPlog#traceroute
il y a des combinaisons sympa à faire



personnellement il ne prend pas mes apaches access.log :(


Merci pour votre aide :)

Laurent Besson a écrit :

Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit :
Personnellement c'est aussi une installation local (1 seul post) que
j'aurais à faire,
je ne sais pas si je peux te demandé un petit morceau de log (histoire
de voir si il est aussi performant qu'il en a l'aire)
avec les sortes d'attaque et les parades qu'il a intreprit (que tu as
paramétré)
(si par exemple les scan de ports son enregistré avec l'IP de
l'attaquant? si il est possible de faire d'autre notification que par
mail?)
En brût pour les premiers 12 h de tests...

[EMAIL PROTECTED] lolo]# tail -f /var/ossec/logs/active-responses.log
jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.shadd - 63.241.61.7 1169115108.385524 30114jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add -63.241.61.7 1169115108.385524 30114jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.shdelete - 63.241.61.7 1169115108.385524 30114jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.shdelete - 63.241.61.7 1169115108.385524 30114jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add -201.236.4.225 1169145163.509834 3302jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.shadd - 201.236.4.225 1169145163.509834 3302jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.shdelete - 201.236.4.225 1169145163.509834 3302jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.shdelete - 201.236.4.225 1169145163.509834 3302
Pour /var/ossec/logs/ossec.log
il ne produit pas grand chose sauf si tu metsdans /var/ossec/etc/internal_options.conf:
# Windows debug (used by the windows agent)
windows.debug=1
# Syscheck (local, server and unix agent)
syscheck.debug=1
# Remoted (server debug)
remoted.debug=1
# Analysisd (server or local)
analysisd.debug=1
# Log collector (server, local or unix agent)
logcollector.debug=1

redémarre ossec : /etc/init.d/ossec restart



--
Lisez la FAQ de la liste avant de poser une question :

http://wiki.debian.net/?DebianFrenchVous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: question IDS , reponse: ossec

Répondre à