ossec(サーバーエージェント)モデルからのアラートの生成
私はOSSECにとても慣れていません。私はサーバーエージェントモデルを使用しています。次のアクション(エージェント側)のアラートを生成したい:
1)ログのデレーションに関するサンプルアラート
ossec.confタグを使用して、エージェントの<localfile>にこれらのルールを追加しました。このような :
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
私のサーバーのossec.confにあります。私は以下を追加しました:
<global>
<email_notification>yes</email_notification>
<email_to>xxxx@xxxxxx</email_to>
<smtp_server>smtp.gmail.com</smtp_server>
<email_from>xxxx@xxx</email_from>
</global>
そして、サーバーを再起動しました。ここで、rm syslogを使用してエージェントのsyslogファイルを削除しようとしました。ただし、アラートはトリガーされていません。
どこで間違いを犯しているのですか?
/var/ossec/rules/syslog_rules.xmlを開くと、不適切な言葉のリストが表示されます。
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted|unresolved|Down</var>
logger コマンドを使用して、システムログにエントリを作成します。
$ logger connection failed
このメッセージは/var/log/syslogで確認できます。
Aug 28 17:12:41 ubuntu quanta: connection failed
次の内容のメールを受け取ります。
OSSEC HIDS Notification.
2012 Aug 28 17:12:32
Received From: (Nagios_Slave_6.142) 192.168.6.142->/var/log/messages
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Aug 28 17:12:21 ubuntu quanta: connection failed
--END OF NOTIFICATION