Gerando alertas do modelo ossec (servidor-agente)

Navegue suas respostas
1

Sou muito novo no OSSEC. Eu uso um modelo de agente de servidor. Desejo gerar alerta para as seguintes ações (no lado do agente):

1) Alerta de amostra para delação de logs

Eu adicionei as regras para isso em ossec.conf do agente usando <localfile> tags. Assim: 

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/syslog</location>
  </localfile>

No ossec.conf do meu servidor. Eu adicionei o seguinte: 

<global>
    <email_notification>yes</email_notification>
    <email_to>xxxx@xxxxxx</email_to>
    <smtp_server>smtp.gmail.com</smtp_server>
    <email_from>xxxx@xxx</email_from>
  </global>

E eu reiniciei o meu servidor. Agora tentei excluir o arquivo syslog do agente usando rm syslog . Mas nenhum alerta foi acionado.

Onde estou cometendo o erro?

    
por batman 28.08.2012 / 11:16

1 resposta

1

localfile é diferente de syscheck .

Abra o /var/ossec/rules/syslog_rules.xml , você verá uma lista de palavrões:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>

Usando o comando logger para criar uma entrada no log do sistema: 

$ logger connection failed

você pode ver esta mensagem em /var/log/syslog : 

Aug 28 17:12:41 ubuntu quanta: connection failed

e receba um email com o seguinte conteúdo: 

OSSEC HIDS Notification.
2012 Aug 28 17:12:32

Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

    Aug 28 17:12:21 ubuntu quanta: connection failed



 --END OF NOTIFICATION
    
por 28.08.2012 / 12:15

Tags

Diferença entre acessar um site usando host local e endereço IP Por que minha página da web não é carregada completamente toda vez?