我们在一些 Debian 服务器上运行 OSSEC 3.2。syscheck当某些文件和目录发生更改时,我们会使用 OSSEC 来提醒我们。
我想syscheck在目录更改时生成警报/tmp。现在,我不关心/tmp任何内容, 但是我做关心目录本身。例如,如果权限发生/tmp变化,或者其组或所有者发生变化,我想知道。
我如何让它syscheck在发生改变时提醒我,/tmp而不是在内容发生改变时提醒我?
答案1
您可以尝试如下方法:
<directories check_owner="yes" check_group="yes" check_perm="yes">/tmp</directories>