저는 OSSEC을 처음 접했습니다. 저는 서버-에이전트 모델을 사용합니다. 다음 작업에 대한 알림을 생성하고 싶습니다(에이전트 측에서).
1) 로그 삭제에 대한 샘플 알림
ossec.conf
에이전트의 태그 사용 에 이에 대한 규칙을 추가했습니다 <localfile>
. 이와 같이 :
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
내 서버의 ossec.conf에 있습니다. 다음을 추가했습니다.
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
그리고 서버를 다시 시작했습니다. 이제 .dll을 사용하여 에이전트 syslog 파일을 삭제하려고 했습니다 rm syslog
. 그러나 경고가 트리거되지 않았습니다.
내가 어디서 실수를 하고 있는 걸까?
답변1
을 열면 /var/ossec/rules/syslog_rules.xml
나쁜 단어 목록이 표시됩니다.
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
사용나무꾼시스템 로그에 항목을 생성하는 명령:
$ logger connection failed
이 메시지는 다음에서 볼 수 있습니다 /var/log/syslog
.
Aug 28 17:12:41 ubuntu quanta: connection failed
다음 내용이 포함된 이메일을 받습니다.
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION