Has leído ya los 13 artículos previos a este?
En el mundo OSSIM- OSSEC no he conseguido encontrar "la biblia" o documento perfecto. Para realizar los procedimientos básicos es mas o menos sencillo encontrar buenas referencias de información, como este humilde blog :-) pero para el trabajo diario es necesario conocer muchos ficheros de configuración y registros para ver que está ocurriendo y poder segmentar. El típico "no me llega los logs" hay que delimitarlo en que parte falla el proceso.
He decidido crear este mini post recopilando las rutas y ficheros que para mi son de ayuda en mi día a día.
Espero que os guste.
Como comprobar que están llegando paquetes de una ip concreta a un servidor:
tcpdump -i eth0 -v -w /dev/null 'src ip'
OSSEC-Cliente.
Configuración general del cliente: /var/ossec/etc/ossec.conf
Log del cliente OSSEC: /var/ossec/log/ossec.log
Comprobar conectividad con el servidor OSSEC: ncat -u ip-servidor-ossec 1514
OSSEC-Servidor.
Comprobación de actividad recibida por un agente concreto.
/var/ossec/bin/agent_control -lc * lista los agentes.
/var/ossec/bin/agent_control -i 002 * muestra la información.
Controlar los últimos cambios en ficheros detectados por Syscheckd (útil para el FIM)
/var/ossec/bin/syscheck_control -i agente
Ampliar detalles de cambios sobre un fichero concreto
/var/ossec/bin/syscheck_control -i agente -f /ruta/fichero_modificado
Comando de servicio para el servidor OSSEC.
/var/ossec/bin/ossec-control {start|stop|restart|status|enable|disable}
Logs para ver la estadística de eventos por un día.
El formato es por cada dia un fichero, dentro: Hora, SID, LEVEL, y las veces que se ha producido. Al final del fichero tenemos el resumen:
/var/ossec/stats/totals/2014/Sep/ossec-totals-01.log
Comprobar si recibes datos desde clientes ossec al puerto 1514.
tcpdump -i eth0 port 1514
Actividad de los agentes hacia OSSIM: /var/log/agent.log
Actualizar la versión de OSSIM desde consola, no desde el GUI:
alienvault-update -c -v -d
Reinicio de servicios.
