难以解释网络日志记录设备的日志输出 'Wazuh'
Difficulty in interpreting the log output from a network logging device 'Wazuh'
在下面给出的日志消息中,klnagent 是发送日志的防病毒卡巴斯基代理。
ossec: 输出: 'netstat listening ports':
tcp 0.0.0.0:22 0.0.0.0:* 9656/sshd
tcp6:::22:::* 9656/sshd
tcp 0.0.0.0:111 0.0.0.0:* 1/systemd
tcp6 :::111 :::* 1/systemd
udp 0.0.0.0:111 0.0.0.0:* 1/systemd
udp6 :::111 :::* 1/systemd
tcp6:::443:::* 24826/java
udp 0.0.0.0:644 0.0.0.0:* 32271/rpcbind
udp6:::644:::* 32271/rpcbind
tcp 127.0.0.1:4853 0.0.0.0:* 126444/geckodriver
tcp 127.0.0.1:6710 0.0.0.0:* 124922/壁虎驱动
tcp6 127.0.0.1:8005:::* 24826/java
tcp6:::8009:::* 24826/java
tcp 127.0.0.1:12050 0.0.0.0:* 9843/klnagent
tcp 127.0.0.1:13322 0.0.0.0:* 124940/火狐
tcp6 127.0.0.1:13341:::* 11017/java
tcp 127.0.0.1:14245 0.0.0.0:* 126463/firefox
udp 0.0.0.0:15000 0.0.0.0:* 9843/klnagent
udp6:::15000:::* 9843/klnagent
tcp 127.0.0.1:15730 0.0.0.0:* 9843/klnagent
tcp6::1:15730::::* 9843/klnagent
tcp6 127.0.0.1:19269:::* 11017/java
tcp 127.0.0.1:25890 0.0.0.0:* 9843/klnagent
tcp 127.0.0.1:30523 0.0.0.0:* 9843/klnagent
tcp6::1:30523::::* 9843/klnagent
tcp 127.0.0.1:34146 0.0.0.0:* 9843/klnagent
tcp 127.0.0.1:35019 0.0.0.0:* 9843/klnagent
udp 0.0.0.0:46909 0.0.0.0:* 9659/rsyslogd
Wazuh 附带了一些配置为监视其输出的命令。
通过查看您的输出,Wazuh 用来显示该信息的命令是:
<localfile>
<log_format>full_command</log_format>
<command>netstat -tulpn | sed 's/\([[:alnum:]]\+\)\ \+[[:digit:]]\+\ \+[[:digit:]]\+\ \+\(.*\):\([[:digit:]]*\)\ \+\([0-9\.\:\*]\+\).\+\ \([[:digit:]]*\/[[:alnum:]\-]*\).*/ == == /' | sort -k 4 -g | sed 's/ == \(.*\) ==/:/' | sed 1,2d</command>
<alias>netstat listening ports</alias>
<frequency>360</frequency>
</localfile>
您可以在 /var/ossec/etc/ossec.conf(对于 linux 系统)或 C:\Program Files (x86)\ossec-agent\ossec.conf(对于 Windows Wazuh 代理)中找到它。
此命令允许您监控设备中打开的侦听端口,以避免它们暴露未使用的端口。
例如,行:
tcp 0.0.0.0:22 0.0.0.0:* 9656/sshd
告诉我们端口 22 正在侦听来自任何 IP 和任何端口 ( 0.0.0.0:* ) 的 TCP 连接。 9656/ssh 为我们提供了有关进程的 PID 和程序名称的信息。
您可以查找有关命令监控的更多信息in our documentation。
希望对您有所帮助。
问候。
在下面给出的日志消息中,klnagent 是发送日志的防病毒卡巴斯基代理。
ossec: 输出: 'netstat listening ports':
tcp 0.0.0.0:22 0.0.0.0:* 9656/sshd
tcp6:::22:::* 9656/sshd
tcp 0.0.0.0:111 0.0.0.0:* 1/systemd
tcp6 :::111 :::* 1/systemd
udp 0.0.0.0:111 0.0.0.0:* 1/systemd
udp6 :::111 :::* 1/systemd
tcp6:::443:::* 24826/java
udp 0.0.0.0:644 0.0.0.0:* 32271/rpcbind
udp6:::644:::* 32271/rpcbind
tcp 127.0.0.1:4853 0.0.0.0:* 126444/geckodriver
tcp 127.0.0.1:6710 0.0.0.0:* 124922/壁虎驱动
tcp6 127.0.0.1:8005:::* 24826/java
tcp6:::8009:::* 24826/java
tcp 127.0.0.1:12050 0.0.0.0:* 9843/klnagent
tcp 127.0.0.1:13322 0.0.0.0:* 124940/火狐
tcp6 127.0.0.1:13341:::* 11017/java
tcp 127.0.0.1:14245 0.0.0.0:* 126463/firefox
udp 0.0.0.0:15000 0.0.0.0:* 9843/klnagent
udp6:::15000:::* 9843/klnagent
tcp 127.0.0.1:15730 0.0.0.0:* 9843/klnagent
tcp6::1:15730::::* 9843/klnagent
tcp6 127.0.0.1:19269:::* 11017/java
tcp 127.0.0.1:25890 0.0.0.0:* 9843/klnagent
tcp 127.0.0.1:30523 0.0.0.0:* 9843/klnagent
tcp6::1:30523::::* 9843/klnagent
tcp 127.0.0.1:34146 0.0.0.0:* 9843/klnagent
tcp 127.0.0.1:35019 0.0.0.0:* 9843/klnagent
udp 0.0.0.0:46909 0.0.0.0:* 9659/rsyslogd
Wazuh 附带了一些配置为监视其输出的命令。 通过查看您的输出,Wazuh 用来显示该信息的命令是:
<localfile>
<log_format>full_command</log_format>
<command>netstat -tulpn | sed 's/\([[:alnum:]]\+\)\ \+[[:digit:]]\+\ \+[[:digit:]]\+\ \+\(.*\):\([[:digit:]]*\)\ \+\([0-9\.\:\*]\+\).\+\ \([[:digit:]]*\/[[:alnum:]\-]*\).*/ == == /' | sort -k 4 -g | sed 's/ == \(.*\) ==/:/' | sed 1,2d</command>
<alias>netstat listening ports</alias>
<frequency>360</frequency>
</localfile>
您可以在 /var/ossec/etc/ossec.conf(对于 linux 系统)或 C:\Program Files (x86)\ossec-agent\ossec.conf(对于 Windows Wazuh 代理)中找到它。
此命令允许您监控设备中打开的侦听端口,以避免它们暴露未使用的端口。 例如,行:
tcp 0.0.0.0:22 0.0.0.0:* 9656/sshd
告诉我们端口 22 正在侦听来自任何 IP 和任何端口 ( 0.0.0.0:* ) 的 TCP 连接。 9656/ssh 为我们提供了有关进程的 PID 和程序名称的信息。
您可以查找有关命令监控的更多信息in our documentation。
希望对您有所帮助。 问候。