OSSEC文件监控（SYSCHECK）

2019独角兽企业重金招聘Python工程师标准>>>

OSSEC文件监控（SYSCHECK）

ossec 可以对文件进行检查，包括文件是否修改，修改的内容(正常手段，有时候)，文件属性等。
关于文件的监控，在OSSEC.CONF文件中

    
        ...文件监控内容
    


简单的配置选项:

    10
    yes
    no
    no
    /
root/caoqing
    /root/xiaob
ao
    /etc/mtab


选项介绍:
 扫描频率，每隔多长时间进行扫描，单位为秒。

这里是监控的目录ossec 会对目录和文件进行监控，但如果使用了realtime进行监控，则这里必须是目录。
check_all ：检测所有选项包括文件的MD5，SH1文件大小，宿主等等。
report_changes : 报告文件改变，仅限于linux系统和文本文件。
restrict : 限制检查某几种类型的文件。
 是否报告新文件默认是no，即使设置yes，由于OSSEC文件创建的默认RULE告警级别是0，所以也不会显示，如果要显示新文件告警，还需要修改RULE规则，或者新创建一个规则，覆盖掉原有规则。
修改/var/ossec/rule/local_rules.xml，添加

    ossec
    syscheck_new_entry
    File added to the system.
    syscheck,
 
 ：启动ossec服务时并不扫描，默认为yes。
 ：忽略文件系统的检查。
: 为了防止文件被频繁改变而产生报警，如果是yes则默认3次之后不会产生告警，为no则改变就发生报警。
其他选项介绍：
directories属性：
check_sum ：检查文件的md5，sha1文件属性
check_md5sum : 检查文件的md5属性
check_sha1sum : 检查文件的sha1属性
check_size : 检查文件大小
check_owner : 检查文件所属者
check_group ： 检查文件所属组
check_perm ： 检查文件权限
ignore属性：
type: sregex
支持正则模式过滤不需要监测的报警
 : 扫描时间(21pm, 8:30, 12am, ...)
 : 扫描一周内的第几天(monday, sunday, saturday, ...)
 : 扫描windows的注册表
 : 不需要扫描的windows注册表

转载于:https://my.oschina.net/u/1449160/blog/212670