1.在server 和 agent 的ossec.conf中,都追加这样一条:
<
alert_new_files>yes</
alert_new_files>
例如:
<directories
check_all="yes">/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/local/sbin</directories>
<alert_new_files>yes</alert_new_files>
...
2.然后,在local_rules.xml 中追加如下配置:
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
然后再重启server 和agent上的ossec,生效。
解释:
上面这条规则的含义是,覆盖ossec_rules.xml中的规则554。
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
因为在ossec的规则554中,默认是不打开对追加文件的监视和提醒的。