Назад | Перейти на главную страницу

Мониторинг файлов в реальном времени ossec сообщает только о первом изменении, а о полных изменениях сообщается только при запланированном последующем сканировании

в настоящее время у нас есть некоторые агенты ossec, работающие в Windows, и активирован мониторинг файлов в реальном времени - со следующей конфигурацией на сайте агента:

<syscheck>
  <!-- Frequency that syscheck is executed - default to every 2 hours -->
  <frequency>7200</frequency>

  <directories check_all="yes" realtime="yes">D:\path1</directories>
  <directories check_all="yes" realtime="yes">D:\path2</directories>

  <disabled>no</disabled>  
  <auto_ignore>no</auto_ignore>
</syscheck>

в основном это работает - за исключением того, что в реальном времени сообщается только о первом редактировании файла. любые последующие изменения того же файла сообщаются только через запланированное сканирование каждые 7200 секунд, но уведомление в реальном времени не запускается после первого редактирования.

Если я редактирую другой ранее нетронутый файл - он снова работает при первом изменении, но не после него.

Есть ли какие-либо другие настройки, которые можно проверить / изменить / установить, чтобы надежно получать уведомления об изменениях файла? На что можно посмотреть, чтобы определить проблему?

Это немного озадачивает ... Большое спасибо за любой вклад.

Ответ: как-то пропущены ведущие значения по умолчанию:

  1. вы должны запросить мониторинг в реальном времени как дополнительный флаг на стороне агента
  2. вы должны отключить auto_ignore на стороне сервера, так как по умолчанию это yes ->, что означает игнорирование дальнейших udpates от агентов после первоначального

При запуске агента на уровне отладки 2; видно, что все файлы отслеживаются, изменения обнаруживаются и данные отправляются на сервер. Но сервер по умолчанию их игнорирует. Это немного сбивает с толку / промахивается, даже если это задокументировано таким образом! На флаге реального времени следует отметить, что нужно изменить и серверную сторону - взаимозависимость этих двух настроек не очевидна!

Непонятно: первое изменение работает, а второе - нет! Ну это все!

Возможно, очевидная или глупая оплошность, но был ли OSSEC перезапущен после добавления path2 на стороне агента?

И если да, то отражает ли журнал ossec.log, что он правильно отслеживает каталог path2, т.е.

2017/02/08 00:58:31 ossec-syscheckd: INFO: Directory set for real time monitoring: '/etc'.
2017/02/08 00:58:31 ossec-syscheckd: INFO: Directory set for real time monitoring: '/usr/bin'.

Журнал может дать некоторую подсказку или дополнительную информацию.