я использую OSSEC пробовать и контролировать службы на серверах, таких как Windows Event Log.
Я хотел бы знать, была ли служба остановлена или запущена, и получить соответствующее письмо по электронной почте.
Я пробовал правило, которое предупреждает о событии с идентификатором 6006 (служба журнала событий была остановлена).
<rule id="100011" level="10">
<match>INFORMATION(6006)</match>
<options>alert_by_email</options>
<description>The Event log service was stopped.</description>
</rule>
Но на мероприятии это не сработало. Итак, я попытался проверить вход в систему ossec-logtest.
Мне пришлось создать запись в журнале, так как я не смог получить журнал, ossec-analysisd будет обрабатывать из Windows's Event View.
Я попробовал войти ossec-logtest и казалось, стрелять нормально.
Журнал ввода:
2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped.
Вывод Ossec-logtest:
**Phase 1: Completed pre-decoding.
full event: '2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped.'
hostname: 'CentOS1'
program_name: '(null)'
log: '2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped.'
**Phase 2: Completed decoding.
No decoder matched.
**Phase 3: Completed filtering (rules).
Rule id: '100011'
Level: '10'
Description: 'The Event log service was stopped.'
**Alert to be generated.
Это привело меня к мысли, что агенты не отправляют событие журнала 6006 на сервер OSSEC. Я использую конфигурацию агента по умолчанию, есть ли что-нибудь, что мне не хватает для запуска события с идентификатором 6006?