Есть ли лучший способ обработки ossec-logcollector?

Я работал над интеграцией журналов приложений с сборщиком журналов ossec.

Я успешно создал, декодировал команды, правила и т.д., и все работает и запускает триггеры.

Однако наше приложение меняет журналы и не создает журнал до тех пор, пока не будет запущен конкретный инцидент. И ossec-logcollector не будет читать новые файлы.

Есть разные способы, но не все так идеально.

Прикосновение к файлам и перезапуск ossec-logcollector каждый день.
Cronjob перезапускает ossec-logcollector каждые 10 минут [хорошо, это снова будет не в реальном времени].
Напишите скрипт, который проверяет, когда эти файлы были созданы, и если новый перезапуск ossec-logcollector. Я еще не понял этого, но думаю, что это возможно.
Проверьте наличие различий с помощью команды ossec с помощью wc -l, если есть новые файлы, запишите сценарий как правило огня и перезапустите ossec-logcollector.

Но есть ли лучший способ сделать это в ossec? Или есть ли способ включить ossec-logcollector для проверки новых файлов?

ossec

Я столкнулся с той же проблемой, я предлагаю сценарий ниже или проверяю, есть ли запись в журнале, когда происходит сохранение журнала, и создаю декодер / правило / активный ответ на основе этой записи, которая перезапускает сборщик журналов

# cat /var/ossec/scripts/logcheckerd

        #!/bin/bash
        # Author:0xFFFFFF www.white-hacker.org
        old_data=$(ls /var/log/ossec/|md5sum|cut -d " " -f 1)
        while true; do
                sleep 1
                new_data=$(ls /var/log/ossec/|md5sum|cut -d " " -f 1)
                if [ "$new_data" != "$old_data" ]; then
                /var/ossec/bin/ossec-control restart    
                        old_data=$(printf $new_data)
                fi
        done

# setsid /var/ossec/scripts/logcheckerd >/dev/null 2>&1 < /dev/null

0xFFFFFF