Kusprayitna Blogs

Hidup untuk berbagi ilmu :: IT Linux Windows Database Oracle PHP OpenSource

Memonitor log server dengan OSSEC

Posted by kusprayitna on July 6th, 2010

Setelah berhasil melaukan instalasi OSSEC, baik itu server ataupun agent, maka tahapan yang tidak kalah penting adalah melakukan monitoring lognya.

Pada saat selesai hanya beberapa atau default log yang dilakukan analisa.

1.  syschek

Melakukan cek semua kemungkinan yang ada di suatu folder.

  • frequency yaitu seberapa sering dilakukan pengecekan (dalam detik)
  • directories yaitu direktori yang dilakukan pengecekan
    Opsi tambahan yaitu :
    - check_all  : di cek semua kemungkinan
    - real-time  : dilaporkan secara real time
  • ignore yaitu file atau direktori yang diabakan dalam pengecekan

<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>21600</frequency>

<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>

<ignore>/etc/mtab</ignore>
<ignore>/etc/mnttab</ignore>
<ignore>/etc/hosts.deny</ignore>
</syscheck>

2. white list

Adalah berisi daftar IP yang diabaikan saat ada aktif respon. Aktf repon ini terpace oleh aktifitas level tinggi

<global>
<white_list>127.0.0.1</white_list>
<white_list>^localhost.localdomain$</white_list>
</global>

3. Alert

Seting ini menentukan level alert minimal yang diinformasikan ke user, misalnya melalui OSSED Web User Interface. Misalnya 5, maka alert level 4 dan lebih rendah akan tidak diinfomasikan ke user. Default yaitu 1

<alerts>
<log_alert_level>1</log_alert_level>
</alerts>

4. localfile

Adalah daftar file log yang akan dilakukan monitoring.  Sebagai default adalah 3 file log, yaitu message, secure dan maillog.

Penambahan file yang dimonitor harus dilakukan satu persatu (tidak bisa menggunakan tanda * ), misalnya dalam hosting website, maka penambahan log yang dimonitor setiap domain harus dilakukan satu persatu.

<!-- Files to monitor (localfiles) -->

<localfile>
<log_format>syslog</log_format>
<location>/var/log/messages</location>
</localfile>

<localfile>
<log_format>syslog</log_format>
<location>/var/log/secure</location>
</localfile>

<localfile>
<log_format>syslog</log_format>
<location>/var/log/maillog</location>
</localfile>

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>