ossec 可以对文件进行检查,包括文件是否修改,修改的内容(正常手段,有时候),文件属性等等。
关于文件的监控,在OSSEC.CONF文件中
<ossec_config>
<syscheck>
。。。。文件监控内容
</syscheck>
</ossec_config>
先给出一份简单的配置选项
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<!-- Directories to check (perform all possible verifications) -->
<alert_new_files>yes</alert_new_files>
<directories check_all="yes" realtime="yes" report_changes="yes">/103</directories>
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<!-- Windows files to ignore -->
<ignore>C:\WINDOWS/System32/LogFiles</ignore>
</syscheck>
介绍一下
<frequency> 扫描频率 每隔多长时间进行扫描
<alert_new_files> 是否报告新文件 默认是no 的,而且,这里即使设置yes 由于OSSEC文件创建的默认RULE 告警级别是0 所以也不会显示,所以如果要显示新文件告警,还需要修改RULE 规则,或者新创建一个规则,覆盖掉原有规则。 见附一
<directories check_all="yes" realtime="yes" report_changes="yes">
这里是监控的目录ossec 会对目录和文件进行监控,但如果使用了realtime 进行监控,则这里必须是目录。
check_all :检测所有选项 包括文件的MD5,SH1 文件大小,宿主等等。
report_changes : 报告文件改变。
<ignore>:忽略文件
还有一个auto_ignore: 使用方式 <auto_ignore>yes|or</auto_ignore> 为了防止文件被频繁改变而产生报警,如果是yes则默认3次之后不会产生告警,为no则改变就发生报警。 目前貌似只能全局生效,不能针对单个文件或者目录。
配置完成后,重启OSSEC 即可。 #service ossec restart
附一 新建文件告警:
在ossec 安装目录的 rules 下 (/var/ossec/rules) 新建一个规则.xml(需要在ossec.conf 里包含)或者直接编辑local_rules.xml,增加
<rule id="554" level="10" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
附二 参考:http://www.ossec.net/doc/manual/syscheck/index.html