我们运行OSSEC作为客户端 – 服务器模型。 ClientA和ClientB服务器是负载均衡器后面的Web服务器。 他们都将信息发送到单个OSSEC服务器( ServerA ),在那里它相应地调用主动响应(即dynamicIP阻塞)。
clientA(OSSEC代理) – > ServerA(OSSEC服务器)
clientB(OSSEC代理) – > ServerA(OSSEC服务器)
OSSEC的主动响应function在很大程度上非常有效。 然而,问题在于即使clientA和clientB是“集群”,OSSEC服务器也会阻止与每个客户相关的最终用户的违规IP。
这意味着,如果ServerA在clientA上阻塞了1.2.3.4的最终用户IP,那么同样的操作不会反映在clientB上 。
在阅读OSSEC手册后,我很确定没有办法解决这种情况。 或者在那里?
如果没有,我正在寻求社区的意见或build议,看看是否有其他的方法来处理它。
谢谢。
如果我正确理解了你,你希望在clientA和clientB上触发主动响应。
如果是这种情况,我build议你看一下Active Response文档。
您可以定义主动响应的运行位置:
位置
命令应该在哪里执行。 你有四个select:
允许:
本地 :在生成事件的代理上
服务器 :在OSSEC服务器上
defined-agent :在一个特定的代理上(当使用这个选项时,你需要设置agent_id来使用)
所有 :或到处都是。
来源: http : //ossec-docs.readthedocs.io/en/latest/syntax/head_ossec_config.active-response.html