Я установил Ossec в конфигурации монитора / агента на нескольких своих серверах. Все отлично работает.
Единственное, что меня раздражает, это то, что я продолжаю получать предупреждения после того, как logrotate поворачивает журнал, который я смотрю.
Теперь мой почтовый ящик полон Rule: 550 fired (level 7) -> "Integrity checksum changed." почты, что снижает моё соотношение сигнал / шум. Боюсь, что я не буду внимательно смотреть на эти предупреждения, если получаю дюжину ложных срабатываний в день.
Как я могу справиться с ситуацией? Как я могу сообщить ossec о ротации журналов, чтобы он не отправлял мне почту каждый раз, когда это происходит?
Вы можете создать другое правило OSSEC, которое срабатывает в ответ на 550. Допустим, ваш logrotate переключает журналы каждый вторник в полночь. Согласно Синтаксис правил OSSEC, вы можете указать теги "время" и "день недели" для внесения logrotate в белый список. Поэтому, если это правило срабатывает в этот день и время, мы отключаем электронную почту и понижаем его до уровня 2.
Конечно, это предполагает, что программа, которая действительно выполняет перемещение, - это поворот журнала. Вы можете расширить это, чтобы настроить отчет. Например, повышение до уровня 14, если правило белого списка запускается более одного раза в течение 10 минут (что делает logrotate?).
Добавьте следующее правило в свой local_rules.xml файл.
<rule id="550" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<hostname>your_server_name</hostname>
<match>logrotate</match>
<options>no_email_alert</options>
<description>No email alerts for Integrity checksum changed for logrotate.</description>
<group>syscheck,</group>
</rule>
OSSEC рассмотрит local_rules.xml прежде, чем смотреть на другие правила, поэтому он будет применять <options>no_email_alert</options> директива, но только для хостов / серверов, определенных в <hostname> директива, и для тех, кто соответствует logrotate ключевое слово в предупреждениях.