OSSEC文件監控（SYSCHECK）

OSSEC文件監控（SYSCHECK）

ossec 能夠對文件進行檢查，包括文件是否修改，修改的內容(正常手段，有時候)，文件屬性等。
關於文件的監控，在OSSEC.CONF文件中
<ossec_config>
    <syscheck>
        ...文件監控內容
    </syscheck>
</ossec_config>

簡單的配置選項:
<syscheck>
    <frequency>10</frequency>
    <alert_new_files>yes</alert_new_files>
    <scan_on_start>no</scan_on_start>
    <auto_ignore>no</auto_ignore>
    <directories check_all="yes" report_changes="yes" restrict=".txt|.sql|.js">/
root/caoqing</directories>
    <directories realtime="yes" check_all="yes" report_changes="yes">/root/xiaob
ao</directories>
    <ignore>/etc/mtab</ignore>
</syscheck>

選項介紹:
<frequency> 掃描頻率，每隔多長時間進行掃描，單位爲秒。
<directories check_all="yes" realtime="yes" report_changes="yes">
這裏是監控的目錄ossec 會對目錄和文件進行監控，但若是使用了realtime進行監控，則這裏必須是目錄。
check_all ：檢測全部選項包括文件的MD5，SH1文件大小，宿主等等。
report_changes : 報告文件改變，僅限於linux系統和文本文件。
restrict : 限制檢查某幾種類型的文件。
<alert_new_files> 是否報告新文件默認是no，即便設置yes，因爲OSSEC文件建立的默認RULE告警級別是0，因此也不會顯示，若是要顯示新文件告警，還須要修改RULE規則，或者新建立一個規則，覆蓋掉原有規則。
修改/var/ossec/rule/local_rules.xml，添加
<rule id="554" level="10" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
</rule> 
<scan_on_start> ：啓動ossec服務時並不掃描，默認爲yes。
<ignore> ：忽略文件系統的檢查。
<auto_ignore>: 爲了防止文件被頻繁改變而產生報警，若是是yes則默認3次以後不會產生告警，爲no則改變就發生報警。
其餘選項介紹：
directories屬性：
check_sum ：檢查文件的md5，sha1文件屬性
check_md5sum : 檢查文件的md5屬性
check_sha1sum : 檢查文件的sha1屬性
check_size : 檢查文件大小
check_owner : 檢查文件所屬者
check_group ： 檢查文件所屬組
check_perm ： 檢查文件權限
ignore屬性：
type: sregex
支持正則模式過濾不須要監測的報警
<scan_time> : 掃描時間(21pm, 8:30, 12am, ...)
<scan_day> : 掃描一週內的第幾天(monday, sunday, saturday, ...)
<windows_registry> : 掃描windows的註冊表
<registry_ignore> : 不須要掃描的windows註冊表