服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从ossec(服务器代理)模型生成警报
Intereting Posts
HP 1/8 G2 LTO-6自动加载器升级到LTO7 文件名是透明地redirect到file-name.php 在分割networking上的WSUS 我如何远程禁用Windows XP上的防火墙? MySQL允许无密码login,不会让我运行任何东西 Ansiblevariables未定义,除非设置为默认值 Postfix policyd双重使用设置 – 灰名单和配额 有没有人看过这个问题跟踪软件function? PHP5.3 FastCGI不使用全局configuration的值 如何禁止用户的脚本访问其用户文件夹之上的任何内容? 如何干净地离开Windows 2008 Small Business Server Active Directory 在VoIP中SIP注册不转换为YES Tomcat8无法升级TLS版本 域和IP应该有不同的DocumentRoot MySQL服务不会启动

从ossec(服务器代理)模型生成警报

我对OSSEC很陌生。 我使用服务器代理模型。 我希望为以下操作生成警报(在代理端):

1)日志消除的样本警报

我使用<localfile>标签在代理的ossec.conf添加了这些规则。 喜欢这个 : 

  <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile>

在我的服务器的ossec.conf。 我添加了以下内容: 

 <global> <email_notification>yes</email_notification> <email_to>xxxx@xxxxxx</email_to> <smtp_server>smtp.gmail.com</smtp_server> <email_from>xxxx@xxx</email_from> </global>

我重新启动了我的服务器。 现在我试图使用rm syslog删除代理syslog文件。 但是没有警报被触发。

我犯了什么错误?

localfilesyscheck不同。

打开/var/ossec/rules/syslog_rules.xml ,你会看到一个不好的单词列表:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>

使用logger命令在系统日志中创build一个条目: 

 $ logger connection failed

你可以在/var/log/syslog看到这个消息: 

 Aug 28 17:12:41 ubuntu quanta: connection failed

并收到一封电子邮件,内容如下: 

 OSSEC HIDS Notification. 2012 Aug 28 17:12:32 Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system." Portion of the log(s): Aug 28 17:12:21 ubuntu quanta: connection failed --END OF NOTIFICATION