Ich bin ganz neu bei OSSEC. Ich verwende ein Server-Agent-Modell. Ich möchte für die folgenden Aktionen (auf der Agent-Seite) einen Alarm generieren:
1) Beispielalarm zum Löschen von Protokollen
Ich habe die Regeln hierfür ossec.conf
mithilfe von <localfile>
Tags in Agenten eingefügt. So:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
In der ossec.conf meines Servers habe ich Folgendes hinzugefügt:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
Und ich habe meinen Server neu gestartet. Jetzt habe ich versucht, die Syslog-Datei des Agenten mit zu löschen rm syslog
. Aber es wurden keine Warnungen ausgelöst.
Wo mache ich den Fehler?
Antwort1
localfile
unterscheidet sich vonsyscheck
.
Öffnen Sie die /var/ossec/rules/syslog_rules.xml
. Sie sehen eine Liste mit Schimpfwörtern:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
Verwenden vonLoggerBefehl zum Erstellen eines Eintrags im Systemprotokoll:
$ logger connection failed
Sie können diese Nachricht sehen in /var/log/syslog
:
Aug 28 17:12:41 ubuntu quanta: connection failed
und erhalten Sie eine E-Mail mit folgendem Inhalt:
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION