我对 OSSEC 还很陌生。我使用服务器代理模型。我希望针对以下操作生成警报(在代理端):
1)删除日志的警报示例
ossec.conf我在代理的使用标签中添加了这些规则<localfile>。就像这样:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
在我的服务器的 ossec.conf 中,我添加了以下内容:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
然后我重启了服务器。现在我尝试使用 删除代理 syslog 文件rm syslog。但没有触发任何警报。
我哪里犯了错误?
答案1
打开/var/ossec/rules/syslog_rules.xml,你会看到一个脏话列表:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
使用记录器在系统日志中创建条目的命令:
$ logger connection failed
您可以在以下位置看到此消息/var/log/syslog:
Aug 28 17:12:41 ubuntu quanta: connection failed
并收到一封包含以下内容的电子邮件:
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION