Назад | Перейти на главную страницу

Уведомления OSSEC HIDS по электронной почте отправляются каждые пять минут с сервера

Мой сервер каждые пять минут отправляет мне на электронную почту следующее сообщение об ошибке:

Уведомление OSSEC HIDS.
17 июня 2011 г. 16:30:03

Получено от: ubuntu -> / var / log / syslog
Правило: 1002 сработал (уровень 2) -> «Неизвестная проблема в системе».
Часть журнала (ов):

18 июня 08:30:01 ubuntu CRON [16935]: (www-data) CMD (php /usr/share/cacti/site/poller.php> / dev / null 2> / var / log / cacti / poller-error .журнал)

Есть идеи о том, что это значит?

Я считаю, что, глядя на это правило, которое приведено ниже, в основном, если я не ошибаюсь, именно здесь OSSEC терпит неудачу и в конечном итоге попадает в это правило. Это правило всегда будет срабатывать, когда появляются новые неизвестные системные журналы, и в вашем случае это был журнал опроса Cacti, о котором он не знает.

<rule id="1002" level="2">
  <match>$BAD_WORDS</match>
  <options>alert_by_email</options>
  <description>Unknown problem somewhere in the system.</description>
</rule>

Вам нужно будет добавить правила для сопоставления системных журналов, которые являются хорошими, и написать правило для сигнализации о плохом.

Сайт OSSEC объясняет это здесь http://www.ossec.net/wiki/Know_How:Email_Alerts_below_7