Diferencia entre revisiones de «Comandos frecuentes OSSIM»

De Luis Moreno Wiki
Ir a la navegación Ir a la búsqueda
(Página creada con «Comandos frecuentes OSSIM cambiar IP de un “todo en uno” en OSSIM editar el archivo /etc/network/interfaces -- Archivo de configuración /etc/ossim/ossim_setup.c…»)
 
Línea 122: Línea 122:
  
 
Pero puede ser que alguna otra cosa te mal, y es peferible reinstalar
 
Pero puede ser que alguna otra cosa te mal, y es peferible reinstalar
///////////////////////////////// FIN ERRORES frecuentes /////////////////////////////////
 
  
Info:
+
 
 +
== Info ==
  
 
OSSIM: http://communities.alienvault.com/<br>
 
OSSIM: http://communities.alienvault.com/<br>

Revisión del 22:53 19 jul 2020

Comandos frecuentes OSSIM

cambiar IP de un “todo en uno” en OSSIM editar el archivo 

 /etc/network/interfaces

-- Archivo de configuración 

 /etc/ossim/ossim_setup.conf

-- Modificar tarjeta en modo promiscuo o tarjeta donde escucha snort cambiar en el parámetro 

[sensor]
interfaces=eth1

-- Cambiar IP, default gateway, netmask, etc. 

 /etc/network/interfaces
 /etc/ossim/ossim_setup.conf
 usar ossim-reconfig al final

-- Default usuario para la página Web admin/admin

-- Actualizar OSSIM 

 ossim-update

-- Plugins /etc/ossim/agent/plugins

-- Alias 

 vi /etc/ossim/agent/aliases.cfg

-- Reiniciar el agente 

  /etc/init.d/ossim-agent restart

-- Quitar plugins -- Para buscar los pluing IDs que queremos quitar 

 /usr/share/doc/ossim-mysql/contrib/plugins
 zcat *.sql.gz | grep DELETE | ossim-db ossim

-- Reiniciar server en modo debug 

 vim /etc/default/ossim-server

Cambiar la linea OPTS="-c /etc/ossim/server/config.xml" 

                 	OPTS="-c /etc/ossim/server/config.xml -D6"

-- actualizar del CVS apt-get install cvs cvs -d:ext:juanmals@os-sim.cvs.sourceforge.net:/cvsroot/os-sim co os-sim

cvs update -dP usuario y password

-- Agrega carpetas y borra las capetas eliminadas

-- verificar diferencia de configuracion cvs diff configure.ac

-- Reglas de snort 

/etc/snort/rules/emerging-policy.rules

-- Ignorar un host desde snort vim /etc/default/snort PARAMS="-m 027 -D -d host not 192.168.0.16"

-- bajar capturas https://www.evilfingers.com/

-- backups /var/lib/ossim/backup

-- respaldar etc var configuracion de red y ossim setup ossim-reconfig

-- logrotate

-- Archivo de logs 

 /var/logs

-- Log para ver lo que esta pasando, mensajes de error programas, etc 

 /var/logs/syslog

-- Para ver los últimos 100 mensajes generados usar tail, ejemplo: 

 tail -n 100  /var/logs/syslog



Syslog en OSSIM -- 1. Los logs se reciben por syslog (puedes hacer reglas para separarlos) y puedes checar los logs con el comando 

 tail -f /var/log/syslog


-- 2. Los logs son atrapados por los plug-ins y enviados al agente. 

 tail -f /var/log/ossim/agent.log


-- 3. El agente envia los logs al servidor 

 tail -f /var/log/ossim/server.log

Resource Center http://www.alienvault.com/company/news/resource-center/index.html


ERRORES frecuentes

 Starting Network Intrusion Detection System snort_eth1 fail!

Revisar en el archivo de log /var/log/syslog los mensajes que envia por ejemplo uno puede ser que se dejó un espacio en la variable HOME_NET, como a continuación: var HOME_NET [192.168.1.0/24, 172.16.1.0/24] en lugar de: var HOME_NET [192.168.1.0/24,172.16.1.0/24] Y este pequeño espacio estaba causando el problema

-- ntop no inicia envia un mensaje que dice “plugin not available” crear el folder de mrtg para ntop pueda crear sus gráficas con el comando: mkdir -p /var/www/mrtg

-- Fake start-stop-daemon called, doing nothing La instalación no terminó correctamente es necesario reinstalar OSSIM, hay forma de corregirlo con el siguiente comando: 

 mv /sbin/start-stop-daemon.REAL /sbin/start-stop-daemon

Pero puede ser que alguna otra cosa te mal, y es peferible reinstalar


Info

OSSIM: http://communities.alienvault.com/
AV-OTX: http://www.alienvault.com/open-threat-exchange
USM: http://www.alienvault.com/products-solutions/compare-ossim-to-alienvault-usm
OSSIM ISO: http://www.alienvault.com/free-downloads-services
AlienVault appliance: http://www.alienvault.com/docs/AlienVault-Datasheet-Appliances.pdf
OSSIM documentation: http://www.alienvault.com/resource-center/product-documentation
AlienVault Repository of Knowledge: https://alienvault.bloomfire.com/
OSSIM setup tutorial videos: http://www.alienvault.com/open-threat-exchange/learning-center
OSSIM/AlienVault on YouTube: http://www.youtube.com/user/alienvaulttv
OSSIM community forum: http://forums.alienvault.com/
OSSIM source code repository: https://www.assembla.com/code/os-sim/git-2/nodes
OSSIM installer download: http://downloads.alienvault.com/c/download?version=current_ossim_iso
http://www.admin-magazine.com/Archive/2014/20/Open-Source-Security-Information-and-Event-Management-system

Obtenido de «https://www.luismoreno.io/wiki/index.php?title=Comandos_frecuentes_OSSIM&oldid=24»