Вопросы Теги

Мониторинг файлов в реальном времени ossec сообщает только о первом изменении, но полные изменения сообщаются только при запланированном последующем сканировании

в настоящее время у нас есть некоторые агенты ossec, работающие в Windows, и мониторинг файлов в реальном времени активирован - со следующей конфигурацией на сайте агента: 

<syscheck>
  <!-- Frequency that syscheck is executed - default to every 2 hours -->
  <frequency>7200</frequency>

  <directories check_all="yes" realtime="yes">D:\path1</directories>
  <directories check_all="yes" realtime="yes">D:\path2</directories>

  <disabled>no</disabled>  
  <auto_ignore>no</auto_ignore>
</syscheck>

это в основном работает - за исключением того, что в реальном времени сообщается только первое редактирование файла. любые последующие изменения того же файла сообщаются только через запланированное сканирование каждые 7200 секунд, но уведомление в реальном времени не запускается после первого редактирования.

Если я редактирую другой, ранее нетронутый файл - он снова работает для первого изменения, но не потом.

Существуют ли другие настройки, которые можно проверить / изменить / установить для надежного получения уведомлений об изменениях файлов? На что можно посмотреть, чтобы определить проблему?

Это немного озадачивает ... Большое спасибо за любой вклад.

0
задан 26 January 2017 в 13:26
2 ответа

Ответ: по умолчанию как-то пропущено:

  1. вы должны запросить мониторинг в реальном времени в качестве дополнительного флага на стороне агента
  2. вы должны отключить auto_ignore на стороне сервера, так как по умолчанию это значение равно yes ->, что означает игнорирование последующих udpates от агентов после начального

при запуске агента на втором уровне отладки; видно, что все файлы отслеживаются, изменения обнаруживаются, и данные отправляются на сервер. Но по умолчанию сервер их игнорирует. Это немного сбивает с толку/недостает руководства, даже если оно документировано таким образом! Следует отметить на флаге реального времени, что необходимо изменить и на стороне сервера - взаимозависимость этих двух настроек не очевидна!

Путаница в том, что первое изменение работает, а второе - нет! Вот и всё!

1
ответ дан 4 December 2019 в 16:22

Возможно, очевидная или глупая ошибка, но был ли OSSEC перезапущен после добавления path2 на стороне агента?

И если да, то отражает ли это ossec.log он правильно отслеживает каталог path2, т.е. 

2017/02/08 00:58:31 ossec-syscheckd: INFO: Directory set for real time monitoring: '/etc'.
2017/02/08 00:58:31 ossec-syscheckd: INFO: Directory set for real time monitoring: '/usr/bin'.

Журнал может дать некоторую подсказку или дополнительную информацию.

0
ответ дан 4 December 2019 в 16:22

Теги

Похожие вопросы