DaSilva
08.05.09, 15:51
Ich habe wie im Wiki (http://www.ossec.net/wiki/index.php/Know_How:Nmap) beschrieben OSSEC "beigebracht" auch die nmap reports mitzuteilen.
Allerdings sieht der Inhalt der E-Mail viel weniger informativ aus als die Ausgabe in die nmap-out.log:
Host: 12.34.56.78 (server.de) Ports: 21/open/tcp//ftp///, 22/open/tcp//ssh///, 25/open/tcp//smtp///, 53/open/tcp//domain///, 80/open/tcp//http///, 81/open/tcp//hosts2-ns///, 82/open/tcp//xfer///, 110/open/tcp//pop3///, 113/open/tcp//auth///, 143/open/tcp//imap///, 443/open/tcp//https///, 465/open/tcp//smtps///, 587/open/tcp//submission///, 5000/open/tcp//UPnP///, 10000/open/tcp//snet-sensor-mgmt///, 53/open|filtered/udp//domain///, 123/open|filtered/udp//ntp///, 26900/open|filtered/udp//hexen2///, 27015/open|filtered/udp//halflife///, 45000/open|filtered/udp//ciscopop///
E-Mail:
Host: 12.34.56.78 (server.de), open ports: 21(tcp) 22(tcp) 25(tcp) 53(tcp)
80(tcp) 81(tcp) 82(tcp) 110(tcp) 113(tcp) 143(tcp) 443(tcp) 465(tcp) 587(tcp)
5000(tcp) 10000(tcp)
Da fehlen UDP und Beschreibungen. Kann man das irgendwie noch hinzufügen?
Danke.
EDIT:
Und dann würde ich gerne noch eine Log-Datei mit folgendem neuen Inhalt (pro neue Zeile) per OSSEC überwachen:
07.05.2009 23:01:01 Postgrey nicht gefunden, Neustart der Anwendung mit neuer PID 513 durchgefuehrt!
Das Datum, "Postgrey" und "513" sind dabei variabel.
Mit
<localfile>
<log_format>syslog</log_format>
<location>/root/dienstueberpruefung.log</location>
</localfile>
kommt nichts an...
Allerdings sieht der Inhalt der E-Mail viel weniger informativ aus als die Ausgabe in die nmap-out.log:
Host: 12.34.56.78 (server.de) Ports: 21/open/tcp//ftp///, 22/open/tcp//ssh///, 25/open/tcp//smtp///, 53/open/tcp//domain///, 80/open/tcp//http///, 81/open/tcp//hosts2-ns///, 82/open/tcp//xfer///, 110/open/tcp//pop3///, 113/open/tcp//auth///, 143/open/tcp//imap///, 443/open/tcp//https///, 465/open/tcp//smtps///, 587/open/tcp//submission///, 5000/open/tcp//UPnP///, 10000/open/tcp//snet-sensor-mgmt///, 53/open|filtered/udp//domain///, 123/open|filtered/udp//ntp///, 26900/open|filtered/udp//hexen2///, 27015/open|filtered/udp//halflife///, 45000/open|filtered/udp//ciscopop///
E-Mail:
Host: 12.34.56.78 (server.de), open ports: 21(tcp) 22(tcp) 25(tcp) 53(tcp)
80(tcp) 81(tcp) 82(tcp) 110(tcp) 113(tcp) 143(tcp) 443(tcp) 465(tcp) 587(tcp)
5000(tcp) 10000(tcp)
Da fehlen UDP und Beschreibungen. Kann man das irgendwie noch hinzufügen?
Danke.
EDIT:
Und dann würde ich gerne noch eine Log-Datei mit folgendem neuen Inhalt (pro neue Zeile) per OSSEC überwachen:
07.05.2009 23:01:01 Postgrey nicht gefunden, Neustart der Anwendung mit neuer PID 513 durchgefuehrt!
Das Datum, "Postgrey" und "513" sind dabei variabel.
Mit
<localfile>
<log_format>syslog</log_format>
<location>/root/dienstueberpruefung.log</location>
</localfile>
kommt nichts an...