uso do espaço em disco OSSEC

Navegue suas respostas
3

Alguns dias atrás, notei que o disco do meu servidor Ubuntu estava quase cheio. Eu cavei um pouco e descobri que o espaço em disco foi usado pelo OSSEC, na pasta /var/ossec/queue/diff .

Eu queria tentar algo imediato, então excluí o conteúdo dessa pasta. Tudo estava funcionando normalmente e o uso do espaço em disco era "normal".

Mas a pasta de filas do OSSEC está crescendo novamente.

Existe uma configuração para impedir que a fila do OSSEC use todo o espaço em disco?

    
por Sinklar 07.05.2015 / 09:31

3 respostas

1

Até onde eu sei, o próprio OSSEC não exclui logs. Veja a documentação

Where are OSSEC’s logs stored?¶

On OSSEC server and local installs there are several classes of OSSEC logs. There are the logs created by the OSSEC daemons, the log messages from the agents, and the alerts. Agent installs do not have logs from other agents or alerts, but do have logs created by the OSSEC processes.

All logs are stored in subdirectories of /var/ossec/logs. OSSEC’s log messages are stored in /var/ossec/logs/ossec.log.

Log messages from the agents are not stored by default. After analysis they are deleted unless the option is included in the manager’s ossec.conf. If set all log messages sent to the manager are stored in /var/ossec/logs/archives/archives.log and rotated daily.

Alerts are stored in /var/ossec/logs/alerts/alerts.log, and rotated daily.

Você pode usar o logrotate para girar os logs do ossec, mas a pasta /var/ossec/queue/diff é outra história.

Você pode excluir os arquivos com segurança e manter a funcionalidade do OSSEC, mas perderá os relatórios de diferenças.

    
por 07.05.2015 / 09:52
1

Parece que se você adicionar report_changes aos seus diretórios, como eu fiz isso, c cause isso: / home / wordpress / sites /

Report Changes OSSEC supports sending diffs when changes are made to text files on Linux and unix systems.

Configuring syscheck to show diffs is simple, add report_changes="yes" to the

/etc /bin,/sbin Note Report Changes can only work with text files, and the changes are stored on the agent inside /var/ossec/queue/diff/local/dir/file. If OSSEC has not been compiled with libmagic support, report_changes will copy any file designated, e.g. mp3, iso, executable, /chroot/dev/urandom (which would fill your hard drive). So unless libmagic is used, be very carefull on which directory you enable report_changes.

    
por 21.07.2016 / 09:18
0

Logrotate é a resposta (como mencionado por Lenniey), mas isso só funciona de vez em quando. Por que não usar a longa tradição esquecida de cota de disco para evitar que os logs consumam todo o espaço livre?

    
por 07.05.2015 / 11:05

Tags

nginx: Use o módulo geográfico com as diretivas allow / deny Política de grupo e o Site do Internet Explorer para problemas de atribuição de zona?