OSSEC系列三–文件检查(SYSCHECK)

2012年11月8日 | 分类: 安全 | 标签: ,

因排版问题,需要把尖括号<>替换为[]才可以正常显示,实际配置中,都为<>
ossec 可以对文件进行检查,包括文件是否修改,修改的内容(正常手段,有时候),文件属性等等。
关于文件的监控,在OSSEC.CONF文件中
[ossec_config]
[syscheck]
。。。。文件监控内容
[/syscheck]
[/ossec_config]
先给出一份简单的配置选项
[syscheck]
[!-- Frequency that syscheck is executed - default to every 22 hours --]
[frequency]79200[/frequency]

[!-- Directories to check (perform all possible verifications) --]
[alert_new_files]yes[/alert_new_files]
[directories check_all="yes" realtime="yes" report_changes="yes"]/103[/directories]

[!-- Files/directories to ignore --]
[ignore]/etc/mtab[/ignore]

[!-- Windows files to ignore --]
[ignore]C:\WINDOWS/System32/LogFiles[/ignore]
[/syscheck]
介绍一下
[frequency] 扫描频率 每隔多长时间进行扫描
[alert_new_files] 是否报告新文件 默认是no 的,而且,这里即使设置yes 由于OSSEC文件创建的默认RULE 告警级别是0 所以也不会显示,所以如果要显示新文件告警,还需要修改RULE 规则,或者新创建一个规则,覆盖掉原有规则。 见附一
[directories check_all="yes" realtime="yes" report_changes="yes"]
这里是监控的目录ossec 会对目录和文件进行监控,但如果使用了realtime 进行监控,则这里必须是目录。
check_all :检测所有选项 包括文件的MD5,SH1 文件大小,宿主等等。
report_changes : 报告文件改变。
[ignore]:忽略文件
还有一个auto_ignore: 使用方式 [auto_ignore]yes|or[/auto_ignore] 为了防止文件被频繁改变而产生报警,如果是yes则默认3次之后不会产生告警,为no则改变就发生报警。 目前貌似只能全局生效,不能针对单个文件或者目录。

配置完成后,重启OSSEC 即可。 #service ossec restart

附一 新建文件告警:
在ossec 安装目录的 rules 下 (/var/ossec/rules) 新建一个规则.xml(需要在ossec.conf 里包含)或者直接编辑local_rules.xml,增加
[rule id="554" level="10" overwrite="yes"]
[category]ossec[/category]
[decoded_as]syscheck_new_entry[/decoded_as]
[description]File added to the system.[/description]
[group]syscheck,[/group]
[/rule]
附二 参考:http://www.ossec.net/doc/manual/syscheck/index.html

Written by LION

目前还没有任何评论.
注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。