1、设置两台虚拟机,一台作为IDS server,IP地址为10.0.53.22,一台作为Agent,IP地址为10.0.53.33
2、在server和agent上都先对IDS进行安装
yum install -y gcc inotify-tools bind-utils
创建文件件并进入 cd/usr/hids
wget -O ossec.2.9.3.tar.gz https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
3、下载完成后进行解压
tar -zxvf ossec.2.9.3.tar.gz
4、解压完成后进入解压后的文件夹,找到install.sh,执行命令运行它 sh install.sh
5、server下安装server版本
根据提示依次进行选择,直到安装完成
6、agent下安装agent版本
根据提示依次进行选择,直到安装完成
7、安装完成后,先进入server端进行配置
/var/ossec/bin/manage_agents
选择A,添加一个agent,分别填入名字,IP,ID,添加完成后执行E,生成密钥对,将密码复制保存下来
通过Q退出server配置
8、进入agent端进行配置
/var/ossec/bin/manage_agents
选择A,将密钥填入,设置完成后Q退出
9、agent端在/var/ossec/etc/shared中创建agent.conf文件,在文件中进行配置
<agent_config name="agent1">
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
<agent_config os="Linux">
<localfile>
<location>/var/log/my.log2</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
<agent_config os="Windows">
<localfile>
<location>C:\myapp\my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_canfig>
10、agent端配置
进入安装目录下的etc,再进入ossec.conf
修改检查频率
配置完成,启动OSSEC
/var/ossec/bin/ossec-control start
12、server端配置
进入安装目录下的etc,再进入ossec.conf
修改检查频率
配置完成,启动OSSEC
/var/ossec/bin/ossec-control start
13、当Agent异常时,server端会进行报警
