OSSEC HIDS -监视追加文件

1.在server 和 agent 的ossec.conf中,都追加这样一条:
< alert_new_files>yes</ alert_new_files>
例如:

<directories
check_all="yes">/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/local/sbin</directories>
    <alert_new_files>yes</alert_new_files>  

...
2.然后,在local_rules.xml 中追加如下配置:


  <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
  </rule>
然后再重启server 和agent上的ossec,生效。

解释:
上面这条规则的含义是,覆盖ossec_rules.xml中的规则554。

<rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
  </rule>
因为在ossec的规则554中,默认是不打开对追加文件的监视和提醒的。


你可能感兴趣的:(server)