zoukankan      html  css  js  c++  java

  • IDS-----samhain

    samhain部署通常采用C/S模式,各被监控机为配置为client,日志收集服务器为Server。采用C/S模式,client的配置文件和数据文件存储在Server上,client上samhain运行时自动到server上下载配置文件和数据库文件。

    安装准备:
    预先安装gcc编译器等开发工具用以编译samhain源码。
    MySQL+Apache(Server端)
    下载源码 http://www.la-samhna.de/samhain/s_download.html
     
    安装步骤
    ------------Server安装------------
    1、创建一个独立的用户
    1. useradd yule 
    2、编译并安装
    1. ./configure --enable-network=server --with-database=mysql --enable-xml-log --enable-identity=yule 
    2. make 
    3. make install 
    4. make install-boot 
    5. make install-user 
    3、初始化mysql数据库
    1. mysql -p < sql_init/samhain.mysql.ini 
    2. echo "grant select, insert on samhain.log to samhain@localhost IDENTIFIED BY 'samhain';" |mysql -p   
    3. echo "FlUSH PRIVILEGES;" |mysql -p 
    4、添加自启动
    Red Hat
    1. chkconfig --add yule 
    2. chkconfig yule on 
    Debian
    1. update-rc.ld yule defaults 
    5、启动yule服务
    1. /etc/init.d/yule start 
    Apache配置
    在apache的conf.d目录下新建yule.conf文件,内容如下:
    1. <Directory "/var/log/yule/"
    2.    Options ExecCGI 
    3.    AllowOverride None 
    4.    Order allow,deny 
    5.    Allow from all 
    6. </Directory
    7. Alias /yule.html "/var/log/yule/yule.html"
      修改yule.html文件权限
    1. chmod +r /var/log/yule/yule.html 
    重启Apache
    1. /etc/init.d/apache restart 
    测试访问 http://yourserver/yule.html
    ------------Server安装结束---------
     
    ------------Client 安装------------
    1、编译并安装
     
    1. ./configure --enable-network=client --with-config-file=REQ_FROM_SERVER --with-data-file=REQ_FROM_SERVER/var/lib/samhain/samhain --enable-install-name=samhain --with-logserver=IP_OF_YOUR_SERVER  
    2.     make 
    3.     make install 
    4.     make isntall-boot 
    2、设置二进制文件密码
    1. cd /usr/local/sbin 
    2. ./samhain_setpwd samhain new 1234567890123456 
    3. mv samhain.new samhain 
    密码必须为16位0-9,A-F组合,可以通过在Server上运行yule -G生成随机密码。
    3、添加自启动
    Red Hat
    1. chkconfig --add samhain 
    2. chkconfig samhain on 
    Debian
    1. update-rc.d samhain defaults 
    4、返回Server上添加client授权
    1. /usr/local/sbin/yule -P 1234567890123456 |sed 's/HOSTNAME/CLIENT_HOSTNAME_HERE/' >>/etc/yulerc 
    如果client的hostname无法解析可以直接使用ip地址。
     
    5、返回client自定义配置文件,并上传到server上。
    1. cd TOP_LEVEL_OF_SOURCE_DIR 
    2. cp samhainrc.linux rc.`hostname` 
    根据个人需求编辑rc.`hostname`
    1. scp rc.`hostname` YULE_SERVER:/var/lib/yule/ 
    返回server
    1. chown yule:yule /var/lib/yule/rc.client_name 
    6、初始化数据库文件
    返回client
    1. /usr/local/sbin/samhain -t init -p info 
    编译时指定的数据库文件为/var/lib/samhain/samhain,上传数据库文件
    1. scp /var/lib/samhain/samhain YULE_SERVER:/var/lib/yule/file.client_name 
    返回server
    1. chown yule:yule /var/lib/yule/file.client_name 
    注意:server上配置文件必须以rc开头,数据库文件以file开头
    7、启动samhain
    1. /etc/init.d/samhain start 
    2. 或者 samhain -t check 
    ------------client安装结束---------
     

     问题记录

    1、在安装server时--enable-database=mysql选项一直无法编译通过。提示错误:

    Error: unable to find mysql headers mysql.h

    解决办法: 装mysql开发包。 

    1. redhat 
    2. rpm -ivh mysql-devel-version.rpm 
    3.  
    4. debian 
    5. apt-get install libmysqlclientversion-dev 
  • 相关阅读:
    postgresql获取随机数
    windows环境中Tomcat实现开机自启动
    让Tomcat支持中文路径名和中文文件名
    CentOS 环境变量编辑、保存、立即生效的方法
    eclipse/intellij idea 远程调试hadoop 2.6.0
    利用Spring的@Async异步处理改善web应用中耗时操作的用户体验
    ssh 免密码设置失败原因总结
    hadoop 2.6伪分布安装
    weblogic.nodemanager.common.ConfigException: Native version is enabled but nodemanager native library could not be loaded 解决办法
    velocity模板引擎学习(3)-异常处理
  • 原文地址:https://www.cnblogs.com/ruiy/p/14548434.html
Copyright © 2011-2022 走看看