ossec-reportd ossec-reportd это софт для создания отчетов из OSSEC алертов. ossec-reportd принимает алерты в stdin и выводит их отчет в stderr. Заметка Так как ossec-reportd выводит в stderr то некоторые утилиты такие как less не сработают если вы не перенаправите вывод. В конце команды ossec-reportd поставьте 2>&1 чтобы сделать редиркт stderr в stdout. И more или less можно будет использовать после редиректа stderr ossec-reportd argument options -D <dir> Ограничить (chroot) в <dir>. -d Выполнить ossec-reportd в режиме отладки. Эта опция может быть использована несколько раз чтобы увеличить подробность дебаг сообщений. -f <filter> <value> Фильтровать результаты Заметка Разрешенные фильтры: group, rule, level, location, user, srcip, и filename. -h Показать помощь -n <string> Создать описание для отчета. -r <filter> <value> Показать записи относительно фильтра. В <value> указывается фильтр: group, rule, level, location, user, srcip, и filename. -s Показать алерты относящиеся к отчету -V Показать версию OSSEC и информацию по лицензии
Примеры использования ossec-reportd Пример 1: Показать успешные логины # cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -f group authentication_success Пример 2: Показать алерты уровня 10 и выше # cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -f level 10 Пример 3: Показать srcip для всех пользователей # cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -f group authentication -r user srcip Пример 4: Показать измененные файлы отчитавшись по Syscheck # cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -f group syscheck -r location filename Пример вывода # cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd 2>&1 | more 2011/07/11 21:01:36 ossec-reportd: INFO: Started (pid: 1444). 2011/07/11 21:01:41 ossec-reportd: INFO: Report completed. Creating output... Report completed. == ------------------------------------------------ ->Processed alerts: 17 ->Post-filtering alerts: 17 ->First alert: 2011 Jul 11 00:00:46 ->Last alert: 2011 Jul 11 00:16:52 Top entries for 'Username': ------------------------------------------------ _nrpe |6 | SYSTEM |2 | Top entries for 'Level': ------------------------------------------------ Severity 3 |13 | Severity 2 |4 | Top entries for 'Group': ------------------------------------------------ syslog |10 | sudo |6 | dropbearrecon |4 | ossec |4 | sshd |4 | authentication_success |2 | windows |2 | clamd |1 | freshclam |1 | virus |1 | Top entries for 'Location': ------------------------------------------------ ix->/var/log/secure |4 | ix->ossec-logcollector |3 | (vistapc) 192.168.17.0->WinEvtLog |2 | buffalo1->/var/log/secure |2 | buffalo2->/var/log/secure |2 | (junction) 192.168.17.17->/var/log/secure |1 | (junction) 192.168.17.17->ossec-logcollector |1 | ix->/var/log/local6 |1 | junction->/var/log/secure |1 | Top entries for 'Rule': ------------------------------------------------ 5402 - Successful sudo to ROOT executed |6 | 51006 - Client exited before authentication. |4 | 591 - Log file rotated. |4 | 18107 - Windows Logon Success. |2 | 52507 - ClamAV database update |1 |