MEDIA-WIKI, MEDIA-WIKI_T, Bureaucrates, Administrateurs d’interface, Administrateurs (MediaWiki Sémantique), Conservateurs (MediaWiki Sémantique), Modificateurs (MediaWiki Sémantique), Masqueurs de modifications, Administrateurs
9 047
modifications
« LINUX:Wazuh-Décodeurs et Règles » : différence entre les versions
aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 332 : | Ligne 332 : | ||
=3<sup>ème</sup> cas= | =3<sup>ème</sup> cas= | ||
On désire être averti dès qu'un "file system" arrive à 90%. | |||
==Commande== | |||
Dans les fichiers "/var/ossec/etc/ossec.conf" des agents local et distants, il existe une commande qui permet d'analyser les espaces disques avec la commande "df -P". | |||
---- | |||
<localfile> | |||
<log_format>command</log_format> | |||
<command>df -P</command> | |||
<frequency>360</frequency> | |||
</localfile> | |||
---- | |||
==Résultat de commande== | |||
Cette commande "df -P" génère un ensemble de lignes pour chaque ligne précédées de "ossec: output: 'df -P': ". Chaqque ligne est analysée séparément. | |||
Voici un exemple: | |||
---- | ---- | ||
ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb 488143996 436452180 51691816 90% /disk1 | ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb 488143996 436452180 51691816 90% /disk1 | ||
---- | ---- | ||
==Evaluation== | |||
Comme dans les autres cas, on lance la commande sur base de cet exemple: | |||
/var/ossec/bin/wazuh-logtest | |||
Résultat: | |||
---- | ---- | ||
Starting wazuh-logtest v4.2.5 | Starting wazuh-logtest v4.2.5 | ||
| Ligne 363 : | Ligne 377 : | ||
mail: 'False' | mail: 'False' | ||
---- | ---- | ||
C'est la règle "530" qui réagit sans alarme. | |||
==Règles du logiciel== | |||
On trouve cette règle dans le fichier "/var/ossec/ruleset/rules/0015-ossec_rules.xml". | |||
/var/ossec/ruleset/rules/0015-ossec_rules.xml | |||
Voici un extrait: | |||
---- | ---- | ||
<group name="ossec,"> | <group name="ossec,"> | ||
| Ligne 403 : | Ligne 411 : | ||
</group> | </group> | ||
---- | ---- | ||
On remarque qu'il existe une règle au cas où le disque est saturé (100%) mais les médias amovibles ou externes sont exclus par la règle suivante qui annule toute alarme. | |||
==Règle personnelle== | |||
Sur cet base, on conçoit une règle où on recherche un poucentage de deux digits commençant par "9". Cette recherche est exprimée par la chaîne "9\d%". | |||
Dans le répertoire "/var/ossec/etc/rules" reprenant les règles personnelles, nous créons le fichier "perso-os_rules.xml" dans laquelle on ajoute la règle suivante: | |||
---- | ---- | ||
<group name="ossec,"> | <group name="ossec,"> | ||
| Ligne 418 : | Ligne 431 : | ||
==Validation== | |||
Après l'ajout de la règle, on lance de nouveau la commande pour vérification: | |||
/var/ossec/bin/wazuh-logtest | |||
Résultat: | |||
---- | ---- | ||
Starting wazuh-logtest v4.2.5 | Starting wazuh-logtest v4.2.5 | ||
| Ligne 437 : | Ligne 454 : | ||
**Alert to be generated. | **Alert to be generated. | ||
---- | ---- | ||
Notre règle a bien été déclenchée. | |||
==Activation== | |||
Cet alarme va déclencher une alerte mail. Dans ce cas, une action dans le firewall n'a aucun sens. | |||