问题标签 [ossec]

我正在评估（香草）OSSEC+（不是 Wazuh）。如果我正确理解文档，所有特定于规则的配置都必须在服务器上完成，这听起来很合理，因为我不想更改每个代理的配置，并且可能的攻击者将无法操纵它。

之后，我希望服务器上所述配置的更改会以某种方式反映在代理上。但在我的情况下，这似乎不会发生。

对于一个测试，我想实现一个 crontab 检查。因此，如果 root 用户的 crontab 发生更改，我想收到有关此的通知。

根据文档，我 /var/ossec/etc/ossec.conf 在服务器上添加了以下内容：

以及以下内容/var/ossec/rules/local_rules.xml（也在服务器上）

之后，我重新启动了服务器和代理。

现在因为服务器也在监视自己，所以我可以验证此配置在原则上是否正常工作，因为如果我更改服务器上的 crontab，我确实会收到所需的通知。

但这不会发生在代理身上。在stackoverflow上的其他问题/答案之后，我尝试添加

到/var/ossec/etc/local_internal_options.conf（在代理上）

并多次重新启动代理。

当我查看 (agent) 时，我可以看到代理正在做某事， /var/ossec/logs/ossec.log并且确实看到它执行了一些其他命令，但不是我配置的命令。

我究竟做错了什么？尽管文档告诉我，我是否必须将每个配置添加到服务器和每个代理？

PS。如果我/var/ossec/etc/ossec.conf在代理上添加命令配置，它确实有效。

我开始使用 IDS 工具 (Ossec) 监控 plesk 服务器，并收到很多关于“Root 的 crontab 条目已更改”的警报。

这是全新的 Plesk 安装，所以我认为这是正常行为？？Ossec 每小时都会发送这些警报，Plesk 真的那么频繁地更改 crontab 吗？我想了解“替换”和“列表”的真正含义。

通常，当我编辑 crontab 时，系统日志中有类似BEGIN EDIT和的内容。END EDIT

我在从客户生产环境中捕获交换日志时遇到问题。日志存在于一组目录中，并被标记为：

这些日志将涵盖 10 月 10 日 02、03 时和 04 时的两组。

现在，我可以在配置中添加一个 ossec 条目，例如：

但是，问题在于这个小时字段，与日期字段的其余部分一样，strftime 替换仅在代理启动/重新启动时进行评估。因此，如果我在零小时添加一个条目，它可能会捕获一天的第一个，但除非我每小时重新启动，否则它不会捕获任何日志。有什么办法可以从一天中的每个小时捕获日志吗？我不能将通配符和 strftime 混合使用，所以如果我使用通配符，整个文件名 wazuh 将在负载下崩溃，因为一个已知问题是它只能在硬死之前处理这么多的流量。有什么想法吗？

我正在尝试使用 wazuh 4.x 中的子解码器解析如下所示的日志，由于某种原因它没有解析所需的字段

日志条目

儿童解码器

输出

我已将 OSSEC 服务器安装在公共实例中，并将 OSSEC 代理安装在同一 VPC 中 AWS 上的私有实例中。我已成功安装 OSSEC 服务器和代理，但无法将服务器与代理连接。我指的是以下链接进行设置：https ://techviewleo.com/install-and-configure-ossec-hids-agent-on-ubuntu/