OSSEC HIDS －监视追加文件

1.在server 和 agent 的ossec.conf中，都追加这样一条:
< alert_new_files>yesalert_new_files>
例如：

check_all="yes">/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/local/sbin
    <alert_new_files>yesalert_new_files>  

...
2.然后，在local_rules.xml 中追加如下配置：

 
    ossec
    syscheck_new_entry
    File added to the system.
    syscheck,
 
然后再重启server 和agent上的ossec，生效。

解释：
上面这条规则的含义是，覆盖ossec_rules.xml中的规则554。


    ossec
    syscheck_new_entry
    File added to the system.
    syscheck,
 
因为在ossec的规则554中，默认是不打开对追加文件的监视和提醒的。