.png)
Soy muy nuevo en OSSEC. Utilizo un modelo servidor-agente. Deseo generar una alerta para las siguientes acciones (en el lado del agente):
1) Alerta de muestra para eliminación de registros
Agregué las reglas para estos en las etiquetas ossec.confde uso del agente <localfile>. Como esto :
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
En ossec.conf de mi servidor. Agregué lo siguiente:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
Y reinicié mi servidor. Ahora intenté eliminar el archivo syslog del agente usando rm syslog. Pero no se ha activado ninguna alerta.
¿Dónde estoy cometiendo el error?
Respuesta1
localfilees diferente desyscheck.
Abra el /var/ossec/rules/syslog_rules.xml, verá una lista de malas palabras:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
Usandoregistradorcomando para crear una entrada en el registro del sistema:
$ logger connection failed
Puedes ver este mensaje en /var/log/syslog:
Aug 28 17:12:41 ubuntu quanta: connection failed
y reciba un correo electrónico con el siguiente contenido:
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION