Estou usando OSSEC
para tentar e monitorar serviços em servidores como Windows Event Log
.
Gostaria de saber se um serviço foi interrompido ou iniciado e recebo um email devidamente.
Eu tentei uma regra que alerta no evento Id 6006 (O serviço de log de eventos foi interrompido).
<rule id="100011" level="10">
<match>INFORMATION(6006)</match>
<options>alert_by_email</options>
<description>The Event log service was stopped.</description>
</rule>
Mas isso não foi acionado no evento. Então eu tentei testar o log em ossec-logtest .
Eu tive que inventar a entrada de log porque não consegui pegar o log que ossec-analysisd processaria de Windows's Event View
.
Eu tentei logar ossec-logtest e ele pareceu disparar ok.
Registro de entrada:
2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped.
Saída do Ossec-logtest:
**Phase 1: Completed pre-decoding.
full event: '2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped.'
hostname: 'CentOS1'
program_name: '(null)'
log: '2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped.'
**Phase 2: Completed decoding.
No decoder matched.
**Phase 3: Completed filtering (rules).
Rule id: '100011'
Level: '10'
Description: 'The Event log service was stopped.'
**Alert to be generated.
O que me levou a pensar que os agentes não estão enviando o evento de log 6006 para o servidor OSSEC. Eu estou usando a configuração padrão no agente, há algo que eu estou perdendo para obter o evento ID 6006 para disparar?
Tags windows monitoring logging