OSSEC文件监控（SYSCHECK）

OSSEC文件监控（SYSCHECK）

ossec 可以对文件进行检查，包括文件是否修改，修改的内容(正常手段，有时候)，文件属性等。
关于文件的监控，在OSSEC.CONF文件中
<ossec_config>
    <syscheck>
        ...文件监控内容
    </syscheck>
</ossec_config>

简单的配置选项:
<syscheck>
    <frequency>10</frequency>
    <alert_new_files>yes</alert_new_files>
    <scan_on_start>no</scan_on_start>
    <auto_ignore>no</auto_ignore>
    <directories check_all="yes" report_changes="yes" restrict=".txt|.sql|.js">/
root/caoqing</directories>
    <directories realtime="yes" check_all="yes" report_changes="yes">/root/xiaob
ao</directories>
    <ignore>/etc/mtab</ignore>
</syscheck>

选项介绍:
<frequency> 扫描频率，每隔多长时间进行扫描，单位为秒。
<directories check_all="yes" realtime="yes" report_changes="yes">
这里是监控的目录ossec 会对目录和文件进行监控，但如果使用了realtime进行监控，则这里必须是目录。
check_all ：检测所有选项包括文件的MD5，SH1文件大小，宿主等等。
report_changes : 报告文件改变，仅限于linux系统和文本文件。
restrict : 限制检查某几种类型的文件。
<alert_new_files> 是否报告新文件默认是no，即使设置yes，由于OSSEC文件创建的默认RULE告警级别是0，所以也不会显示，如果要显示新文件告警，还需要修改RULE规则，或者新创建一个规则，覆盖掉原有规则。
修改/var/ossec/rule/local_rules.xml，添加
<rule id="554" level="10" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
</rule> 
<scan_on_start> ：启动ossec服务时并不扫描，默认为yes。
<ignore> ：忽略文件系统的检查。
<auto_ignore>: 为了防止文件被频繁改变而产生报警，如果是yes则默认3次之后不会产生告警，为no则改变就发生报警。
其他选项介绍：
directories属性：
check_sum ：检查文件的md5，sha1文件属性
check_md5sum : 检查文件的md5属性
check_sha1sum : 检查文件的sha1属性
check_size : 检查文件大小
check_owner : 检查文件所属者
check_group ： 检查文件所属组
check_perm ： 检查文件权限
ignore属性：
type: sregex
支持正则模式过滤不需要监测的报警
<scan_time> : 扫描时间(21pm, 8:30, 12am, ...)
<scan_day> : 扫描一周内的第几天(monday, sunday, saturday, ...)
<windows_registry> : 扫描windows的注册表
<registry_ignore> : 不需要扫描的windows注册表