Ana Sayfa » *nix » Ossec Merkezi Agent Yapılandırması

Ossec Merkezi Agent Yapılandırması


BerbatKötüİdare EderGüzelHarika (Henüz Puan Verilmedi. Oy kullanarak siz de katkı yapabilirsiniz.)
Loading...

Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYCVHOEl' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349

Daha önce  Akademi'nin Blog'unda Ossec (HIDS) Kurulumu ve Yapılandırma‘sını anlatan bir döküman yayınlamıştım. İlgili dökümandan hareketle kurulan  sistemlerinde, agent'lar üzerinde yapılacak dosya bütünlük kontrolü, rootkit tespiti ve log monitoring gibi işlemlerde hangi dosya/dizinlerin izleneceği vs. gibi tüm yapılandırma işlemleri default olarak uzak host üzerinde bulunan yapılandırma dosyası üzerinde tanımlanmaktadır. Bu durum monitor ettiğiniz hostlarda tek tek düzenleme yapılması anlamına geldiği için özellikle fazla sayıda host'u monitor etmek iş gücü anlamında maliyetli bir durum oluşturmaktadır. Böylesi bir durumda agent yapılandırmalarını merkezi olarak düzenleyebilmek isteyebilirsiniz.  İşte bu sebeple , syscheck (dosya bütünlük kontrolü) rootkit tespiti ve log monitoring tanımlamalarının merkezi yapılabilmesine olanak sağlamaktadır.

Normalde, agentlara ait tüm yapılandırma, uzak hostta /var/ossec/etc/ossec.conf dosyasında yapılmakta ve bu dosya içerisinde Ossec Server'ın IP adresi ile ilgili host için izlenecek dosya/dizin vs. gibi yapılandırma işlemleri tanımlanmaktadır. Merkezi yapılandırma işleminde ise hemen tüm agent yapılandırması Ossec Server üzerindeki /var/ossec/etc/shared/agent.conf içerisinden tanımlanmakta ve bu dosya içerisindeki yapılandırma yönergeleri agent'lara push edilmektedir. Merkezi yapılandırma, agent'ları isimlerine göre tasnif ederek agent spesifik tanımlamalar yapabilmenize olanak sağladığı gibi agent'ları işletim sistemlerine göre de gruplamanıza da imkan vermektedir. Bu şekilde örneğin üzerinde çalışan hostlar ile Windows çalışan hostlarda yapılacak monitoring işlemlerini ayrı ayrı ve toplu olarak tanımlayabilirsiniz.

Bu yapılandırma işlemi için şu adımları izleyebilirsiniz:

Agent Tarafındaki Yapılandırma İşlemleri

Deminde bahsettiğim gibi Ossec agent'larda tüm yapılandırma /var/ossec/etc/ossec.conf dosyasında bulunmaktadır. Yapılandırmayı Ossec Server'dan merkezi olarak düzenlemek istemeniz durumunda ilgili dosya içerisinde sadece Ossec Server'ın IP'sinin belirtildiği bölümün -ve varsa command ile full_command bölümlerinin- kalması yeterlidir.

Örnek bir ossec.conf şu şekilde olmalıdır:


  
    10.10.12.200
  

Ana yapılandırma içerisinde command ve full_command komutları da varsa (ki defaulf kurulumda gelir), aynı şekilde ilgil bölümleri tagleri içerisine yazmanız gerekmektedir. Bu gibi bir yapılandırma için conf şu şekilde olmalıdır:


  
    10.10.12.200
  

  
    command
    df -h
  

  
    full_command
    netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
  

  
    full_command
    last -n 5
  


Agent tarafında zorunlu olarak yapılması gereken tanımlamalar bundan ibarettir.

Server Tarafındaki Yapılandırma İşlemleri

Ossec Server tarafında tüm işlemler /var/ossec/etc/shared/agent.conf içerisinde yapılmaktadır. Örnek olarak ismi agent001 olan bir host için default monitoring yapılandırması şu şekilde olmalıdır:

agent001

agent001“> şeklinde agent'imizin ismini belirterek yapılandırmanın sadece ilgili agent'a uygulanması gerektiğini söylüyoruz.

agent ismi (ya da) Windows“> şeklinde bir kategorizasyon uygulanabilmektedir.

Tanımlamaların ardından, hem server hem de agent tarafından ossec servisinin restart edilmesi gerekiyor:

/var/ossec/bin/ossec-control restart

Bu şekilde yapılandırma merkezi bir şekilde düzenlenmiş oluyor.
Not: Ossec kendi içerisinde bir caching mekanizması kullandığından dolayı değişikliklerin yansıması biraz zaman alabilmektedir.

Visited 919 times, 1 visit(s) today
Kategoriler: *nix |

Bu yazılar da ilginizi çekebilir:


- OSSEC (HIDS) Kurulumu ve Yapılandırması
- Scalpel ile Data Recovery
- FreeBSD NFS Server ve Client Yapılandırması
- Monit ile Sistem Monitoring – Kurulum ve Yapılandırma
- BandwidthD ile Birden Fazla Interface’i Monitor Etmek | FreeBSD

Yorumlar


Henuz yorum yapilmamis.

Yorumda bulunun.