🌎 Исправление событий AlienVault HIDS, отображающих 0.0.0.0 в качестве IP-адреса. |

🌎 Исправление событий AlienVault HIDS, отображающих 0.0.0.0 в качестве IP-адреса.

Мануал

В этом руководстве мы покажем вам, как исправить события AlienVault HIDS, отображающие 0.0.0.0 в качестве IP-адреса.

Используете ли вы AlienVault OSSIM 5.7.1, и у вас возникла проблема, из-за которой он неправильно анализирует события и вместо отображения фактических имен хостов или IP-адресов, как в событиях, отображает 0.0.0.0?

Исправление событий AlienVault HIDS, отображающих 0.0.0.0 в качестве IP-адреса.

Проблема событий AlienVault HIDS, отображающих 0.0.0.0 в качестве IP-адреса для источника или назначения, была определена как связанная с плагином ossim ossec, /etc/ossim/agent/plugins/ossec-single-line.cfg, который не может перевести имена хостов в адреса IPv4.

Это связано с тем, что этот плагин не содержит функцию resolv (), поэтому неудачное разрешение приводит к значению 0.0.0.0.

Что ж, для решения этой проблемы было определено простое исправление.

Оно включает в себя настройку ossec-single-line.cfg путем добавления функции resolv (), как показано ниже.

Настройте плагин ossec-single-line.cfg

До внесения изменений , сначала найдете плагин Ossec-single-line.cfg, скопируйте его, добавив расширение .local.

cp /etc/ossim/agent/plugins/ossec-single-line.cfg /etc/ossim/agent/plugins/ossec-single-line.cfg.local

Затем откройте плагин резервного копирования, который вы создали выше, с расширением .local, для редактирования и внесите следующие изменения.

vim /etc/ossim/agent/plugins/ossec-single-line.cfg,local

Найдите записи src_ip = {VARIABLE} и dst_ip = {VARIABLE},

...
src_ip={$variable}
dst_ip={$variable}
...

и замените их на src_ip = {resolv (VARIABLE)} и dst_ip = {resolv (VARIABLE)}, как они выглядят тут:

...
src_ip={resolv($variable)}
dst_ip={resolv($variable)}
...

Вы можете просто выполнить команду, чтобы внести изменения

sed -i -e '/src_ip=.*\}/ s/\S\w*/resolv(&)/4' -e '/dst_ip=.*\}/ s/\S\w*/resolv(&)/4' /etc/ossim/agent/plugins/ossec-single-line.cfg.local

Примените изменения

После того, как вы внесли изменения, вам нужно запустить команду alienvault reconfig или ossim reconfig, чтобы применить изменения.

ossim-reconfig && /etc/init.d/ossim-agent restart

Ваш источник или пункт назначения теперь должны быть в порядке.

Перейдите к графическому интерфейсу и подтвердите это.

 

Добавить комментарий