Como tornar o Ossec ciente do logrotate

Navegue suas respostas
2

Instalei o Ossec em uma configuração de monitor / agente em alguns servidores meus. Tudo funciona bem.

A única coisa que me incomoda é que eu continuo recebendo alertas após o logrotate rodar o log que eu assisto.

Agora minha caixa de correio está cheia de Rule: 550 fired (level 7) -> "Integrity checksum changed." mails, o que diminui minha relação sinal / ruído. Eu tenho medo de não procurar carrefully esses alertas se eu tiver dúzias de falsos positivos por dia.

Como posso lidar com a situação? Como posso fazer ossec ciente de rotações de log para que ele não me envie sempre que isso acontece?

    
por calve 17.12.2014 / 09:55

2 respostas

0

Você pode criar outra regra do OSSEC que seja disparada em resposta a 550. Digamos que o seu logrotate passa por logs todas as terças-feiras à meia-noite. De acordo com a sintaxe das regras do OSSEC , você pode especificar as tags "time" e "weekday" para whitelist logrotate. Então, se essa regra for acionada naquele dia e horário, desativamos o envio de e-mails e o rebaixamos para dizer, nível 2.

Naturalmente, isso pressupõe que a rotação do log seja o programa que está realmente se movimentando. Você pode expandir isso ainda mais para personalizar o relatório. Por exemplo, escalonamento para o nível 14 se a regra da lista de desbloqueio for acionada mais de uma vez no período de tempo de 10 minutos (o que está fazendo logrotate?).

    
por 17.12.2014 / 17:31
0

Adicione a seguinte regra ao seu arquivo local_rules.xml .

<rule id="550" level="7" overwrite="yes"> <category>ossec</category> <decoded_as>syscheck_integrity_changed</decoded_as> <hostname>your_server_name</hostname> <match>logrotate</match> <options>no_email_alert</options> <description>No email alerts for Integrity checksum changed for logrotate.</description> <group>syscheck,</group> </rule>

O OSSEC examinará local_rules.xml primeiro antes de analisar outras regras, portanto, aplicará a diretiva <options>no_email_alert</options> , mas apenas a hosts / servidores definidos na diretiva <hostname> e, para aqueles que correspondem à palavra-chave logrotate nos alertas.

    
por 07.02.2017 / 19:07

Tags

grub2 password protection não funciona com texto simples É comum colocar o serviço disponível através do mesmo host como sua redundância, apenas portas diferentes? [fechadas]