В этом руководстве мы покажем вам, как исправить события AlienVault HIDS, отображающие 0.0.0.0 в качестве IP-адреса.
Используете ли вы AlienVault OSSIM 5.7.1, и у вас возникла проблема, из-за которой он неправильно анализирует события и вместо отображения фактических имен хостов или IP-адресов, как в событиях, отображает 0.0.0.0?
Исправление событий AlienVault HIDS, отображающих 0.0.0.0 в качестве IP-адреса.
Проблема событий AlienVault HIDS, отображающих 0.0.0.0 в качестве IP-адреса для источника или назначения, была определена как связанная с плагином ossim ossec, /etc/ossim/agent/plugins/ossec-single-line.cfg, который не может перевести имена хостов в адреса IPv4.
Это связано с тем, что этот плагин не содержит функцию resolv (), поэтому неудачное разрешение приводит к значению 0.0.0.0.
Что ж, для решения этой проблемы было определено простое исправление.
Оно включает в себя настройку ossec-single-line.cfg путем добавления функции resolv (), как показано ниже.
Настройте плагин ossec-single-line.cfg
До внесения изменений , сначала найдете плагин Ossec-single-line.cfg, скопируйте его, добавив расширение .local.
cp /etc/ossim/agent/plugins/ossec-single-line.cfg /etc/ossim/agent/plugins/ossec-single-line.cfg.local
Затем откройте плагин резервного копирования, который вы создали выше, с расширением .local, для редактирования и внесите следующие изменения.
vim /etc/ossim/agent/plugins/ossec-single-line.cfg,local
Найдите записи src_ip = {VARIABLE} и dst_ip = {VARIABLE},
... src_ip={$variable} dst_ip={$variable} ...
и замените их на src_ip = {resolv (VARIABLE)} и dst_ip = {resolv (VARIABLE)}, как они выглядят тут:
... src_ip={resolv($variable)} dst_ip={resolv($variable)} ...
Вы можете просто выполнить команду, чтобы внести изменения
sed -i -e '/src_ip=.*\}/ s/\S\w*/resolv(&)/4' -e '/dst_ip=.*\}/ s/\S\w*/resolv(&)/4' /etc/ossim/agent/plugins/ossec-single-line.cfg.local
Примените изменения
После того, как вы внесли изменения, вам нужно запустить команду alienvault reconfig или ossim reconfig, чтобы применить изменения.
ossim-reconfig && /etc/init.d/ossim-agent restart
Ваш источник или пункт назначения теперь должны быть в порядке.
Перейдите к графическому интерфейсу и подтвердите это.