有一个 wazuh(ossec fork)服务器和一个代理(目前正在测试)。服务器从代理获取所有信息(登录尝试等),但有一件事 - 文件更改(创建,删除等)。代理重新启动后,所有信息都会被发送。
我已经确定了通知和inotify 工具安装,甚至构建必需品(以防万一),但没有什么。除非重新启动代理,否则它不会将新的更新发送到服务器。
操作系统 Ubuntu 16.04
有任何想法吗?
答案1
您必须考虑到当 syscheckd 检测到上次扫描的任何更改时会触发文件更改警报,您可以使用选项设置扫描频率。
当代理启动时,如果<scan_on_start>yes</scan_on_start>设置了文件完整性扫描(默认启用),也会启动,因此,当您重新启动代理时,您会收到文件更改的警报。
此外,您可以查看该<realtime>选项,当文件发生变化时它会立即提醒您。
您可以在这里找到官方文档https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/syscheck.html
我们的邮件列表位于https://groups.google.com/forum/#!forum/wazuh我们也很高兴能为您提供帮助。
此外,如果您使用 wazuh 标签就更好了,我们将非常感激,谢谢。
我希望这可以帮到你。
问候