Существует ли лучший способ обработать ossec-logcollector?
Я работал для интеграции журналов приложения с ossec logcollector.
Я успешно создал, декодировал, управляйте, правила и т.д., и все работает и запускает триггеры.
Однако наше приложение поворачивает журналы и не создает журнал до, который инициирован конкретный инцидент. И ossec-logcollector не считал бы новые файлы.
Существуют различные способы, которыми я мог сделать, но не настолько идеальный.
- Касающиеся файлы и перезапускающий ossec-logcollector каждый день.
- Cronjob для перезапуска ossec-logcollector каждые 10 минут [хорошо это снова будет нев реальном времени].
- Запишите сценарий, который проверяет, когда те файлы были созданы и если новый перезапуск ossec-logcollector. Я еще не понял это, но я думаю его возможное.
- Проверьте на разность с помощью ossec команду с помощью туалета-l, если существуют новые файлы, пишут сценарий как правило огня и перезапускают ossec-logcollector.
Но есть ли какой-либо лучший способ сделать это в ossec? Или есть ли какой-либо способ позволить ossec-logcollector проверить новые файлы также?
Я столкнулся с той же проблемой, я предлагаю скрипт, приведенный ниже, или проверьте, есть ли запись в журнале, когда происходит сохранение журнала, и создайте на основе этой записи декодер/правило/активный ответ, который перезапустит сборщик журналов
# cat /var/ossec/scripts/logcheckerd
#!/bin/bash
# Author:0xFFFFFF www.white-hacker.org
old_data=$(ls /var/log/ossec/|md5sum|cut -d " " -f 1)
while true; do
sleep 1
new_data=$(ls /var/log/ossec/|md5sum|cut -d " " -f 1)
if [ "$new_data" != "$old_data" ]; then
/var/ossec/bin/ossec-control restart
old_data=$(printf $new_data)
fi
done
# setsid /var/ossec/scripts/logcheckerd >/dev/null 2>&1 < /dev/null
0xFFFFFF
.