OSSEC HIDS -监视追加文件

1.在server 和 agent 的ossec.conf中,都追加这样一条:
< alert_new_files>yes</ alert_new_files>
例如:

<directories
check_all="yes">/etc,/sbin,/bin,/usr/bin,/usr/sbin,/usr/local/bin,/usr/loca<wbr>l/sbin&lt;/directories&gt; <br> &lt;<b style="color: black; background-color: rgb(255, 255, 102);">alert_new_files</b>&gt;yes&lt;/<b style="color: black; background-color: rgb(255, 255, 102);">alert_new_files</b>&gt; <br></wbr>

...
2.然后,在local_rules.xml 中追加如下配置:


<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
然后再重启server 和agent上的ossec,生效。

解释:
上面这条规则的含义是,覆盖ossec_rules.xml中的规则554。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
因为在ossec的规则554中,默认是不打开对追加文件的监视和提醒的。


  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值