我的服务器每五分钟向我的电子邮件发送以下错误消息:
OSSEC HIDS通知。
2011年6月17日16:30:03收到来自:ubuntu – > / var / log / syslog
规则:1002被解雇(等级2) – >“系统中某处存在未知问题”。
日志的部分:Jun 18 08:30:01 ubuntu CRON [16935]:(www-data)CMD(php /usr/share/cacti/site/poller.php> / dev / null 2> / var / log / cacti / poller-error .LOG)
任何想法是什么意思?
我相信看下面的这个规则,基本上如果我没有错的话,这是OSSEC通过裂缝失败并最终达到这个规则的地方。 当新的未知系统日志出现时,总是会有这个规则触发,在你的情况下,它是不知道的Cacti轮询日志。
<rule id="1002" level="2"> <match>$BAD_WORDS</match> <options>alert_by_email</options> <description>Unknown problem somewhere in the system.</description> </rule> 您将需要添加规则来匹配好的syslog,并将规则写入报警。
OSSEC网站在这里解释这个http://www.ossec.net/wiki/Know_How:Email_Alerts_below_7