Мой сервер каждые пять минут отправляет мне на электронную почту следующее сообщение об ошибке:
Уведомление OSSEC HIDS.
17 июня 2011 г. 16:30:03Получено от: ubuntu -> / var / log / syslog
Правило: 1002 сработал (уровень 2) -> «Неизвестная проблема в системе».
Часть журнала (ов):18 июня 08:30:01 ubuntu CRON [16935]: (www-data) CMD (php /usr/share/cacti/site/poller.php> / dev / null 2> / var / log / cacti / poller-error .журнал)
Есть идеи о том, что это значит?
Я считаю, что, глядя на это правило, которое приведено ниже, в основном, если я не ошибаюсь, именно здесь OSSEC терпит неудачу и в конечном итоге попадает в это правило. Это правило всегда будет срабатывать, когда появляются новые неизвестные системные журналы, и в вашем случае это был журнал опроса Cacti, о котором он не знает.
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
Вам нужно будет добавить правила для сопоставления системных журналов, которые являются хорошими, и написать правило для сигнализации о плохом.
Сайт OSSEC объясняет это здесь http://www.ossec.net/wiki/Know_How:Email_Alerts_below_7