从 ossec(服务器-代理)模型生成警报

从 ossec(服务器-代理)模型生成警报

我对 OSSEC 还很陌生。我使用服务器代理模型。我希望针对以下操作生成警报(在代理端):

1)删除日志的警报示例

ossec.conf我在代理的使用标签中添加了这些规则<localfile>。就像这样:

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/syslog</location>
  </localfile>

在我的服务器的 ossec.conf 中,我添加了以下内容:

<global>
    <email_notification>yes</email_notification>
    <email_to>xxxx@xxxxxx</email_to>
    <smtp_server>smtp.gmail.com</smtp_server>
    <email_from>xxxx@xxx</email_from>
  </global>

然后我重启了服务器。现在我尝试使用 删除代理 syslog 文件rm syslog。但没有触发任何警报。

我哪里犯了错误?

答案1

localfile不同于syscheck

打开/var/ossec/rules/syslog_rules.xml,你会看到一个脏话列表:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>

使用记录器在系统日志中创建条目的命令:

$ logger connection failed

您可以在以下位置看到此消息/var/log/syslog

Aug 28 17:12:41 ubuntu quanta: connection failed

并收到一封包含以下内容的电子邮件:

OSSEC HIDS Notification.
2012 Aug 28 17:12:32

Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

    Aug 28 17:12:21 ubuntu quanta: connection failed



 --END OF NOTIFICATION

相关内容