Soy muy nuevo en OSSEC. Utilizo un modelo servidor-agente. Deseo generar una alerta para las siguientes acciones (en el lado del agente):
1) Alerta de muestra para eliminación de registros
Agregué las reglas para estos en las etiquetas ossec.conf
de uso del agente <localfile>
. Como esto :
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
En ossec.conf de mi servidor. Agregué lo siguiente:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
Y reinicié mi servidor. Ahora intenté eliminar el archivo syslog del agente usando rm syslog
. Pero no se ha activado ninguna alerta.
¿Dónde estoy cometiendo el error?
Respuesta1
localfile
es diferente desyscheck
.
Abra el /var/ossec/rules/syslog_rules.xml
, verá una lista de malas palabras:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
Usandoregistradorcomando para crear una entrada en el registro del sistema:
$ logger connection failed
Puedes ver este mensaje en /var/log/syslog
:
Aug 28 17:12:41 ubuntu quanta: connection failed
y reciba un correo electrónico con el siguiente contenido:
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION