OSSEC文档——文件监控

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/file-log-monitoring.html

文件监控

概述
OSSEC有一个名为 ossec-logcollector的进程，它可以监视日志文件的新事件。当新的日志消息到达时，它将它们转发到其他进程进行分析或传输到一个OSSEC服务器。

配置项

ossec-logcollector的配置在/var/ossec/etc/ossec.conf文件中元素中.

配置示例

简单示例
配置要监视的日志文件是很简单的。只需提供要监视的文件的名称和格式：

    /var/log/messages
    syslog

Windows事件日志示例
要监控一个Windows事件日志，您需要提供格式为“eventlog”，文件名是eventlog。如:

    Security
    eventlog

Windows EventChannel示例
要监视Windows Vista或晚些时候的Windows事件日志，您可以使用“eventchannel”日志格式。文件名是eventlog。这是监视应用程序和服务日志的唯一方法。如果文件名包含一个“%4”，那么用“/”替换它。如:

    Microsoft-Windows-PrintService/Operational
    eventchannel

多文件示例
为了检查多个文件，OSSEC支持posix正则表达式。例如，要分析在/var/log目录中以.log结尾的每个文件，请使用以下配置：

    /var/log/*.log
    syslog

基于日期的示例
对于那些根据日期变化的日志文件，您还可以指定一个strftime格式来代替日期、月份、年等等。例如，要监视日志C:\Windows\app\log-08-12-15.log:

    C:\Windows\app\log-%y-%m-%d.log
    syslog

通配符不能与基于日期的格式相结合。

IIS日志示例
对IIS（5和6）的支持可用于NCSA格式（Web only）和W3C扩展格式（用于Web、FTP和SMTP）。默认情况下，安装脚本将尝试配置OSSEC来监视web的第一个虚拟主机(W3SVC1到W3SVC254)、ftp(MSFTPSVC1到MSFTPSVC254)和smtp(SMTPSVC1到smtpsv254)。要监视任何其他文件，您需要手动添加一个新条目。


除此之外，还要确保将日志的时间设置为每天。


并使用本地时间进行文件命名和翻转。


在扩展的日志记录属性中，将其配置为记录日期、时间和所有扩展属性。

下面是一个配置的示例，用于监视IIS web的虚拟服务器2

    %WinDir%\System32\LogFiles\W3SVC3\ex%y%m%d.log
    iis