ossec-logcollector bug

最新推荐文章于 2024-03-29 09:40:30 发布
最新推荐文章于 2024-03-29 09:40:30 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengzhaoqun/article/details/18262581
版权
现象: 一个文件监控一段时间(10分钟左右)后, 会忽略掉而不监控.
2014/01/10 18:50:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/ossec/logs/alerts/alerts.log'.
2014/01/10 18:50:11 ossec-logcollector: INFO: Started (pid: 9668).
2014/01/10 19:07:31 ossec-logcollector(1904): INFO: File not available, ignoring it: '/var/ossec/logs/alerts/alerts.log'.

测试文件: /var/ossec/logs/alerts/alerts.log
相关进程: /var/ossec/ossec-agent/bin/ossec-logcollector
监控配置文件: /var/ossec/ossec-agent/etc/ossec.conf
查看进程日志: cat /var/ossec/ossec-agent/logs/ossec.log |grep logcoll

发现 logcollector.c 中这一段代码很奇怪:

logff[i].read(i, &r, 0);

/* Checking for error */
if(!ferror(logff[i].fp))
{
    /* Clearing EOF */
    clearerr(logff[i].fp);

    /* Parsing error */
    if(r != 0)
    {
        logff[i].ign++;
    }
}
其中的 r != 0 即代表 "Parsing error" 很可疑. 
Q1: 是否所有的 ossec 中配置的 localfile 都遇到这种情况?

如下, 只有在 /var/ossec/ossec-agent/etc/ossec.conf 中配置了 format 为 ossecalert 才会出现这种情况.
  <localfile>
    <log_format>ossecalert</log_format>
    <location>/var/ossec/logs/alerts/alerts.log</location>
  </localfile>

查看对应的 read_ossecalert.c , 并查看 read_syslog.c 对比
void *read_ossecalert(int pos, int *rc, int drop_it)
void *read_syslog(int pos, int *rc, int drop_it)
程序是以 read_xxx 函数返回后 rc 的值是否为 0 判断是否有 "Parsing error" .
在 read_osseralert() 中, 没有对 rc 进行操作.
在 read_syslog.c() 中, 有这样一句代码
*rc = 0;

因此,很有可能是因为 read_ossecalert() 没有对 rc 进行初始化, 直接用传进来的值判断是否 "Parsing error". 
而传进来的 rc 是不可预料的. 因为在"logff[i].read(i, &r, 0);"前面有
#ifndef WIN32
/* We check for the end of file. If is returns EOF,
* we don't attempt to read it.
*/
if((r = fgetc(logff[i].fp)) == EOF)
{
    clearerr(logff[i].fp);
    continue;
}


/* If it is not EOF, we need to return the read character */
ungetc(r, logff[i].fp);
#endif

需要在 read_ossecalert() 中添加 "*rc=0;" 这一行代码.
zz_d
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ELK+kafaka+filebeat实现系统日志收集与预警
weixin_43636291的博客
01-03 1559
ELK+kafaka+filebeat实现系统日志收集与预警
Android代码-LogCollector:一个收集 app 输出日志的工具
08-06
LogCollector 一个收集 app 输出日志的工具,输出文件:模拟器是 /sdcard/Android/data/项目包名/cache/,真机是 /Android/data/项目包名/cache/,里面的 crash 目录是崩溃日志,log 目录是 logcat 日志。 如何使用 在 module 的 build.gradle 中添加依赖: dependencies { implementation 'com.ljuns:logcollector:' } 在 AndroidManifest.xml 中申请如下权限: 在 Application 的 onCreate() 方法中调用如下: LogCollector.getInstance(this).start(); 更多功能 可以根据日志 TAG 进行过滤: LogCollector.getInstance(this) .setTag("MainActivity") .start(); 可以根据日志级别进行过滤: LogCollector.getInstance(t
强大的ETL利器—LogCollector2.0
lixiang2114的博客
02-28 757
产品开发背景 LogCollector是基于应用日志流程的一套ETL工具和服务组件。目前常用的ETL工具Flume也可以完成日志的采集、传输、转换和存储,但是Flume工具仅能应用到通信质量无障碍的局域网环境,在公网环境下可能因网络不稳定等因素导致连接远端服务的发送器组件失败,而此时收集器组件可能并不知情,数据仍然会继续传送到通道组件,这容易导致通道组件内存泄露从而引发OOM错误;另一方面由于通道错误导致实时收集的数据发送失败,收集器也没有记录实时检查点,这意味着发送失败的数据将面临丢失。发生所有这些问题的
推荐开源项目:LogCollector - 实时日志收集利器
最新发布
gitblog_00005的博客
03-29 630
推荐开源项目:LogCollector - 实时日志收集利器 LogCollector 一个收集 app 输出日志的工具项目地址:https://gitcode.com/gh_mirrors/lo/LogCollector 在大数据和实时监控领域,日志收集是不可或缺的一环。今天我们要介绍的是一个轻量级、高性能的日志收集工具——LogCollector。这个开源项目由ljuns开发并维护,它可以帮...
OSSEC an open source HIDS --- LogCollector
ouyangjia7的专栏
03-31 203
这些天仔细分析了OSSEC日志收集(LogCollector)部分的细节。        OSSEC-LogCollector是创建一个无限循环,类似一个监听日志的守护进程,只要监听到日志有变动,就用SOCEKT发送消息给日志分析(analysisd)的守护进程,然后进行解码、匹配等操作。        下面先讲OSSEC是如何读取日志的。以读取WINDOWS XP下的事件日志为例。 读取事件日...
ossec-agent-win32-3.6.0
03-28
WINDOWS下配合OSSEC SERVER的agent,安装方便,与Server段联合使用,可以实现多平台的SEIM功能
ansible-ossec-agent:为RedHatDebianUbuntu安装和维护ossec-agent
05-24
dj-wasabi.ossec-agent 该角色将在服务器上安装并配置ossec-agent。 当配置了参数ossec_server_name ,它将使操作延迟以自动验证代理。 生成状态: 要求 该角色将在以下方面工作: 红色的帽子 的Ubuntu 德比安 ...
ossec-hids-3.6.0 源码
03-28
**ossec-hids-3.6.0 源码详解** OSSEC是开源的入侵检测系统(HIDS,Host-based Intrusion Detection System),它监控系统活动并提供实时告警,帮助用户保护其Linux和Windows服务器免受恶意攻击。3.6.0是该软件的...
ansible-role-ossec-agent:安装和配置ossec-agent的角色
05-01
"ansible-role-ossec-agent" 是一个基于Ansible自动化运维工具的角色,专门用于部署和配置OSSEC主机入侵检测系统(HIDS)的代理。标题表明这个角色可以帮助系统管理员快速、一致地在多台服务器上安装并设置OSSEC ...
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器
05-24
ossec_server_atomic_release: 1.0-21ossec_server_config: []ossec_agent_configs: []设置示例编辑运行ossec-server的主机的vars文件:host_vars / ossec-server install_postfix: truepostfix_mydomain: email-...
logCollector:使用Kafka和Spark的日志分析框架
07-17
日志收集器 LogCollector 使用Kafka、Spark、Hibernate 和Java 8 实现。LogCollector 使用Kafka 收集日志和性能计数器,并使用Spark 批量处理Kafka 流。 然后,使用 Hibernate OGM 将 Spark 处理的数据存储在 MongoDB 中。
强大的分布式ETL数据流利器—LogCollector-2.0
02-28
LogCollector是一套基于ETL数据分析模型的分布式数据流系统,同时适用于云域内网数据传送和跨云数据传送;同时支持Windows和Linux双系统平台(内置JRE8.X);同时支持实时传送、离线传送和断点续传;同时支持组件化集成、服务化管理和插件化扩展;同时支持单机单实例、多实例部署以及跨云级别的分布式集群部署,分布式场景下通过过载熔断事务反馈机制来保障各子系统数据一致性,收集器可一键安装部署,自动识别系统环境并完成相应配置,无需任何附加操作,解压开箱即用。该系统框架的功能和性能可直接秒杀ELK、Flume、Kettle等数据流工具,系统框架使用说明参考如下地址: https://blog.csdn.net/lixiang2114/article/details/114239052
Android代码-高效率log组件
08-06
Logging 这是一个Android 上 效率极高的 Log 工具,主要功能为控制不同级别的Log输出,Log信息保存到文件、打印行号、函数调用、Json解析、点击跳转、多标签Tab 等功能 打印行号、函数调用、Json解析、点击跳转 参照KLog of ZhaoKaiQiang. 1.开始使用 Logging 你只需要在 Application 里面调用Logcat.initialize一次即可完成初始化 //初始化Logcat Logcat.initialize(this); 配置更多信息 Builder builder = Logcat.newBuilder(); builder.logSavePath(StorageUtils.getDiskCacheDir(this,"loggg")); //设置Log 保存的文件夹 builder.logCatLogLevel(Logcat.SHOW_INFO_LOG| Logcat.SHOW_ERROR_LOG);//设置日志等级 builder.fileLogLevel(Logcat.NOT_SHOW_LOG); //不显示Log L
Android LOG日志抓取工具
12-22
可以更好的方便的抓取异常日志,把代码嵌入在app代码中,将异常的日志保存在本地,可以导出,查看日志,更加方便
OSSEC文件监控和命令监控(附文件监控测试用例)
zhang35的博客
04-14 1498
OSSEC的log文件监控(LIDS,log-based intrusion detection),能检测攻击、误用、系统错误等。 agent端不产生alerts,全部由server集中分析处理。 具体参考官方文档:Log monitoring/analysis 文件监控 ossec-logcollector进程负责监控log文件和事件,有新的日志消息时就转发到server。 配置文件为ossec...
LogCollector01:LogAgent的设计
qq_43378019的博客
03-05 516
日志收集的agent开发 配置文件版logagent ini配置文件解析 cfg , err := ini.Load("./conf/config.ini") if err != nil { logrus.Error("load config failed,err:%v", err) return } kafkaAddr := cfg.Section("kafka").Key("address").String() fmt.Println(kafkaAddr) 初始化kafka // Init 是初始
android app崩溃日志收集以及上传
热门推荐
贾博士的专栏
08-15 3万+
源码获取请到github:https://github.com/DrJia/AndroidLogCollector 已经做成sdk的形式,源码已公开,源码看不懂的请自行google。 如果想定制适应自己app的sdk请自行fork。 AndroidLogCollector android app崩溃日志收集sdk 1.0 作者:贾博士 崩溃日
android日志输出工具是什么,一个收集 app 输出日志的工具
weixin_39732991的博客
05-25 831
LogCollector一个收集 app 输出日志的工具,输出文件保存在 /sdcard/Android/data/项目包名/cache/ 下如何使用在 module 的 build.gradle 中添加依赖:dependencies {implementation 'com.ljuns:logcollector:'}在 AndroidManifest.xml 中申请如下权限:在 Applicat...
LogCollector08: 总结
qq_43378019的博客
03-13 291
1.项目架构 2.为什么不用elk 3.如何保证日志不丢失?重启后能继续收集。 发给kafka,发一条会有一个ack。记录读到哪个日志文件的offset。万一重新启动了,可以继续收集日志。 4.kafka 几种模式 5.etcd的watch原理。最底层用的websocket。 6.es相关知识点。 etcd里有各个服务器日志存放的路径,它们各不相同。拿着ip,拼了一个字段key,去etcd里拉取配置。(用占位符拼接) 然后就是logagent。 读配置文件,连接etcd,连接之后暂时能获取一次配置。 拿
ossec-agent
04-30
OSSEC-Agent是一种基于开源OSSIM安全信息和事件管理系统的轻量级客户端,主要用于监控和保护服务器、工作站和工作流程。OSSEC-Agent与OSSEC-Server通信,定期收集系统日志、文件变更、注册表内容的变化等信息,进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值