本文記錄server/agent模式配置過程,如果只有一台伺服器,可以用local模式,這種方式安裝更為簡單。

OSSEC簡要介紹:
OSSEC 是一款開源的入侵檢測系統,包括了日誌分析,全面檢測,rook-kit檢測。作為一款HIDS,OSSEC應該被安裝在一台實施監控的系統中。另外有時候不需要安裝完全版本的OSSEC,如果有多台電腦都安裝了OSSEC,那麼就可以採用用戶端/伺服器模式來運行。客戶機通過用戶端程式將資料發回到伺服器端進行分析。在一台電腦上對多個系統進行監控對於企業或者家庭用戶來說都是相當經濟實用的。

環境:

Debian6.0.1a 2.6.32-5-686
OSSEC-HIDS 2.5.1
192.168.1.225 ossec server

Windows Srever 2008 R2 Enterprise SP1
ossec-agent-win32-2.5.1
192.168.1.244 ossec client1

完整包:

http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz

Windows Agent:

http://www.ossec.net/files/ossec-agent-win32-2.5.1.exe

安裝步驟很簡單!跳過了~

啟動停止OSSEC:
/var/ossec/bin/ossec-control stop
/var/ossec/bin/ossec-control start

為使代理能夠聯接伺服器端, 您需要將每個代理添加到伺服器.
允許'manage_agents'來添加活刪除代理:

/var/ossec/bin/manage_agents

下載安裝好client端,填入上圖的認證密鑰,啟動成功!

配置了WebUI,方便查看!
官方步骤有问题,已修改~
WebUI_Installation.zip