有人可以解释主动响应配置中的 ossec 代理如何检测或响应事件(例如,扫描网络服务器 404 状态代码的尝试)。
我知道服务器上的以下 xml 块最终会启动代理端的响应。但是所有规则都保存在 /root 目录中,而不是代理的通常安装目录中。除了监控 apache 访问日志之外,它没有脚本或正则表达式告诉我们要检查什么状态代码。
它是使用 udp 端口 1514 在客户端和服务器之间动态共享的东西吗?请帮助我理解它。
!-- Active response to block http scanning -->
<active-response>
<command>route-null</command>
<location>local</location>
<!-- Multiple web server 400 error codes from same source IP -->
<rules_id>31151</rules_id>
<timeout>600</timeout>
</active-response>