.png)
Я совсем новичок в OSSEC. Я использую модель сервер-агент. Я хочу сгенерировать оповещение для следующих действий (на стороне агента):
1) Образец оповещения о делегировании журналов
Я добавил правила для них в теги ossec.confиспользования агента <localfile>. Вот так:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
В ossec.conf моего сервера я добавил следующее:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
И я перезапустил свой сервер. Теперь я попытался удалить файл syslog агентов с помощью rm syslog. Но никаких оповещений не было.
Где я делаю ошибку?
решение1
localfileотличается отsyscheck.
Откройте /var/ossec/rules/syslog_rules.xml, вы увидите список плохих слов:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
С использованиемрегистраторкоманда для создания записи в системном журнале:
$ logger connection failed
вы можете увидеть это сообщение в /var/log/syslog:
Aug 28 17:12:41 ubuntu quanta: connection failed
и получите письмо следующего содержания:
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION