我對 OSSEC 很陌生。我使用伺服器代理模型。我希望針對以下操作產生警報(在代理端):
1) 日誌刪除警報範例
ossec.conf我在代理程式的使用標籤中新增了這些規則<localfile>。像這樣 :
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
在我的伺服器的 ossec.conf 中。我添加了以下內容:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
我重新啟動了我的伺服器。現在我嘗試使用刪除代理系統日誌檔案rm syslog。但尚未觸發任何警報。
我哪裡出錯了?
答案1
打開/var/ossec/rules/syslog_rules.xml,你會看到一個壞字清單:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
使用記錄器在系統日誌中建立條目的命令:
$ logger connection failed
您可以在以下位置看到此訊息/var/log/syslog:
Aug 28 17:12:41 ubuntu quanta: connection failed
並收到一封包含以下內容的電子郵件:
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION