Я работал для интеграции журналов приложения с ossec logcollector.
Я успешно создал, декодировал, управляйте, правила и т.д., и все работает и запускает триггеры.
Однако наше приложение поворачивает журналы и не создает журнал до, который инициирован конкретный инцидент. И ossec-logcollector не считал бы новые файлы.
Существуют различные способы, которыми я мог сделать, но не настолько идеальный.
Но есть ли какой-либо лучший способ сделать это в ossec? Или есть ли какой-либо способ позволить ossec-logcollector проверить новые файлы также?
Я столкнулся с той же проблемой, я предлагаю скрипт, приведенный ниже, или проверьте, есть ли запись в журнале, когда происходит сохранение журнала, и создайте на основе этой записи декодер/правило/активный ответ, который перезапустит сборщик журналов
# cat /var/ossec/scripts/logcheckerd
#!/bin/bash
# Author:0xFFFFFF www.white-hacker.org
old_data=$(ls /var/log/ossec/|md5sum|cut -d " " -f 1)
while true; do
sleep 1
new_data=$(ls /var/log/ossec/|md5sum|cut -d " " -f 1)
if [ "$new_data" != "$old_data" ]; then
/var/ossec/bin/ossec-control restart
old_data=$(printf $new_data)
fi
done
# setsid /var/ossec/scripts/logcheckerd >/dev/null 2>&1 < /dev/null
0xFFFFFF
.