logging - 难以解释网络日志设备“Wazuh”的日志输出

问题描述

在下面给出的日志消息中，klnagent 是反病毒卡巴斯基发送日志的代理。

ossec: 输出: 'netstat 监听端口':

tcp 0.0.0.0:22 0.0.0.0:* 9656/sshd

tcp6 :::22 :::* 9656/sshd

tcp 0.0.0.0:111 0.0.0.0:* 1/systemd

tcp6 :::111 :::* 1/systemd

UDP 0.0.0.0:111 0.0.0.0:* 1/systemd

udp6 :::111 :::* 1/systemd

tcp6 :::443 :::* 24826/java

UDP 0.0.0.0:644 0.0.0.0:* 32271/rpcbind

udp6 :::644 :::* 32271/rpcbind

tcp 127.0.0.1:4853 0.0.0.0:* 126444/geckodriver

tcp 127.0.0.1:6710 0.0.0.0:* 124922/geckodriver

tcp6 127.0.0.1:8005 :::* 24826/java

tcp6 :::8009 :::* 24826/java

tcp 127.0.0.1:12050 0.0.0.0:* 9843/klnagent

tcp 127.0.0.1:13322 0.0.0.0:* 124940/firefox

tcp6 127.0.0.1:13341 :::* 11017/java

tcp 127.0.0.1:14245 0.0.0.0:* 126463/firefox

udp 0.0.0.0:15000 0.0.0.0:* 9843/klnagent

udp6 :::15000 :::* 9843/klnagent

tcp 127.0.0.1:15730 0.0.0.0:* 9843/klnagent

tcp6 ::1:15730 :::* 9843/klnagent

tcp6 127.0.0.1:19269 :::* 11017/java

tcp 127.0.0.1:25890 0.0.0.0:* 9843/klnagent

tcp 127.0.0.1:30523 0.0.0.0:* 9843/klnagent

tcp6 ::1:30523 :::* 9843/klnagent

tcp 127.0.0.1:34146 0.0.0.0:* 9843/klnagent

tcp 127.0.0.1:35019 0.0.0.0:* 9843/klnagent

UDP 0.0.0.0:46909 0.0.0.0:* 9659/rsyslogd

标签： logginginterpretation

Wazuh 附带了一些配置来监控其输出的命令。通过查看您的输出，Wazuh 用来显示该信息的命令是：

<localfile>
  <log_format>full_command</log_format>
  <command>netstat -tulpn | sed 's/\([[:alnum:]]\+\)\ \+[[:digit:]]\+\ \+[[:digit:]]\+\ \+\(.*\):\([[:digit:]]*\)\ \+\([0-9\.\:\*]\+\).\+\ \([[:digit:]]*\/[[:alnum:]\-]*\).*/\1 \2 == \3 == \4 \5/' | sort -k 4 -g | sed 's/ == \(.*\) ==/:\1/' | sed 1,2d</command>
  <alias>netstat listening ports</alias>
  <frequency>360</frequency>
</localfile>

您可以在/var/ossec/etc/ossec.conf（对于 linux 系统）或C:\\Program Files (x86)\ossec-agent\ossec.conf（对于 Windows Wazuh 代理）中找到它。

此命令允许您监视设备中打开的侦听端口，以避免它们暴露未使用的端口。例如，该行：

tcp 0.0.0.0:22 0.0.0.0:* 9656/sshd

告诉我们端口 22 正在侦听来自任何 IP 和任何端口 ( 0.0.0.0:* ) 的 TCP 连接。9656/ssh 为我们提供了有关进程的 PID 和程序名称的信息。

您可以在我们的文档中查找有关命令监控的更多信息。

我希望它对你有帮助。问候。

logging - 难以解释网络日志设备“Wazuh”的日志输出

问题描述

解决方案

推荐阅读