Le Mercredi 17 Janvier 2007 17:58, xtz.info@gmail.com a écrit :
Personnellement c'est aussi une installation local (1 seul post) que
j'aurais à faire,
je ne sais pas si je peux te demandé un petit morceau de log (histoire
de voir si il est aussi performant qu'il en a l'aire)
avec les sortes d'attaque et les parades qu'il a intreprit (que tu as
paramétré)
(si par exemple les scan de ports son enregistré avec l'IP de
l'attaquant? si il est possible de faire d'autre notification que par
mail?)
En brût pour les premiers 12 h de tests...
[root@helios lolo]# tail -f /var/ossec/logs/active-responses.log
jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh
add - 63.241.61.7 1169115108.385524 30114
jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add -
63.241.61.7 1169115108.385524 30114
jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.sh
delete - 63.241.61.7 1169115108.385524 30114
jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh
delete - 63.241.61.7 1169115108.385524 30114
jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add -
201.236.4.225 1169145163.509834 3302
jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh
add - 201.236.4.225 1169145163.509834 3302
jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.sh
delete - 201.236.4.225 1169145163.509834 3302
jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh
delete - 201.236.4.225 1169145163.509834 3302
Pour /var/ossec/logs/ossec.log
il ne produit pas grand chose sauf si tu mets
dans /var/ossec/etc/internal_options.conf:
# Windows debug (used by the windows agent)
windows.debug=1
# Syscheck (local, server and unix agent)
syscheck.debug=1
# Remoted (server debug)
remoted.debug=1
# Analysisd (server or local)
analysisd.debug=1
# Log collector (server, local or unix agent)
logcollector.debug=1
redémarre ossec : /etc/init.d/ossec restart