我已安装并配置了 OSSEC 服务器和代理。我已将密钥导入代理,它们似乎正在通信。但是,我正在尝试测试文件完整性监控功能,但没有收到警报。
我跟着:https://blog.wazuh.com/configure-ossec-to-report-changes-in-the-content-of-a-text-file/但 /var/ossec/queue/diff/ 中没有文件夹(我按照说明等待了一段时间)
我可以看到代理正在服务器的 alert.log 中发送警报,但主要是随机消息“登录会话已关闭”、“登录会话已打开”等,但仅此而已。
可能相关,我还尝试使用 /var/ossec/bin/agent_control -R agent_id 远程重新启动代理,该代理似乎在管理器上成功执行,但代理上的 ossec.log 未显示重新启动。
我只是想看看它是如何运作的。alerts.log 是唯一的方法吗?一切似乎都有点反应迟钝。
更新:当我编辑 /test 中的文件时,我可以看到 sudo 到 root 的执行(来自上面的链接),因此它必须处于通信状态。此外,它会在 ssh 登录失败时发出警报。实时监控已启用,我将频率设置为 30 秒,日志警报级别设置为 1,并且服务器和代理已重新启动。