はじめに
OSSECのデーモンについて、調査した内容を記事にします。なお、OSSECのインストール手順にご興味のある方は以下の記事を参照ください。
- Amazon Linux2にOSSECをインストールした(OSSEC-Serverインストール)
- Amazon Linux2にOSSECをインストールした(OSSEC-Agentインストール)
- Amazon Linux2にOSSECをインストールした(OSSEC-Localインストール)
OSSECエージェントで動作するデーモンについて
まずは実際のマシンで動作しているデーモンを確認してみます。
まずは、OSSECを起動します。
# /var/ossec/bin/ossec-control start
Started ossec-execd...
2022/03/06 04:03:19 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800
Started ossec-agentd...
Started ossec-logcollector...
Started ossec-syscheckd...
Completed.
つづいて、OSSECの状態を確認します。
# /var/ossec/bin/ossec-control status
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-agentd is running...
ossec-execd is running...
一応、psコマンドでも確認しておきます。
# ps -aef | grep ossec
root 3586 1 0 04:03 ? 00:00:00 /var/ossec/bin/ossec-execd
ossec 3591 1 0 04:03 ? 00:00:00 /var/ossec/bin/ossec-agentd
root 3595 1 0 04:03 ? 00:00:00 /var/ossec/bin/ossec-logcollector
root 3599 1 0 04:03 ? 00:00:00 /var/ossec/bin/ossec-syscheckd
root 3630 3186 0 04:04 pts/0 00:00:00 grep --color=auto ossec
ossec-execdデーモン
ossec-execd は、設定されたスクリプトを実行することでアクティブレスポンスを実行します。
ossec-agentdデーモン
ossec-agentdは、サーバと通信するクライアント側のデーモンです。ossecとして動作し、デフォルトでは/var/ossecにchrootされています。
ossec-logcollectorデーモン
ossec-logcollector デーモンは、設定されたファイルやコマンドの新しいログメッセージを監視します。ossec-logcollector は ossec.conf で設定されます。
ossec-syscheckd
ossec-syscheckd デーモンは、チェックサム、パーミッション、または所有者への変更のために設定されたファイルをチェックします。ossec-syscheckdの設定は、ossec.confで処理される。
OSSECマネージャーで動作するデーモンについて
まずは実際のマシンで動作しているデーモンを確認してみます。
まずは、OSSECを起動します。
# /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v3.7.0...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
つづいて、OSSECの状態を確認します。
# /var/ossec/bin/ossec-control status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...
一応、psコマンドでも確認しておきます。
# ps -aef | grep ossec
ossecm 3598 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-maild
root 3602 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-execd
ossec 3606 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-analysisd
root 3610 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-logcollector
ossecr 3617 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-remoted
root 3622 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-syscheckd
ossec 3626 1 0 04:20 ? 00:00:00 /var/ossec/bin/ossec-monitord
ossecm 3638 3598 0 04:21 ? 00:00:00 /var/ossec/bin/ossec-maild
root 3683 3177 0 04:21 pts/0 00:00:00 grep --color=auto ossec
ossec-maildデーモン
ossec-maild デーモンは、OSSEC アラートを電子メールで送信する。ossec-maildの設定は、ossec.confで行う。
ossec-execdデーモン
ossec-execd は、設定されたスクリプトを実行することでアクティブ応答を実行します。
ossec-analysisdデーモン
ossec-analysisdはログメッセージを受信し、ルールと比較します。ログメッセージが適用可能なルールに一致すると、アラートが作成されます。
ossec-logcollectorデーモン
ossec-logcollector デーモンは、設定されたファイルやコマンドの新しいログメッセージを監視します。ossec-logcollector は ossec.conf で設定されます。
ossec-remotedデーモン
ossec-remotedは、エージェントと通信するサーバ側のデーモンです。ポート 1514/udp (OSSEC 通信用) および/または 514 (syslog 用) をリッスンすることができます。ossec-remotedは、ossec.confのセクションで設定されます。
ossec-syscheckdデーモン
ossec-syscheckd デーモンは、チェックサム、パーミッション、または所有者への変更のために設定されたファイルをチェックします。ossec-syscheckdの設定は、ossec.confで処理される。
ossec-monitordデーモン
ossec-monitord デーモンはエージェントの接続を監視し、毎日のログファイルを圧縮します。ossec-monitord は ossec.conf で設定します。
おわりに
今回の記事は以上です。では、また。