如何检查Apache是否正在运行或与Ossec崩溃?如何检查Apache是否被Ossec停止或崩溃?
我加入的ossec.conf下面的代理商之一:
<localfile>
<log_format>full_command</log_format>
<command>service httpd status</command>
</localfile>
但没有什么是显示出来,甚至当我停止Apache。
原因是什么?
您应该编写规则(如果它不存在于/ var/ossec/rules /中)。 我的设置为rsyslog现在的服务是:
在代理/var/ossec/etc/ossec.conf,我在/var/ossec/rules/local_rules.xml添加
<localfile>
<log_format>command</log_format>
<command>service rsyslog status</command>
<frequency>45</frequency>
<alias>Rsyslog Service Status</alias>
</localfile>
在OSSEC服务器,
<rule id="110102" level="1">
<if_sid>530</if_sid>
<match>ossec: output: 'Rsyslog Service Status':</match>
<options>no_log</options>
<group>rsyslog</group>
</rule>
<rule id="110103" level="10">
<if_sid>110102</if_sid>
<match>Active: inactive</match>
<description>Rsyslog service is inactive (STOP).</description>
<group>rsyslog</group>
</rule>
<rule id="110104" level="10">
<if_sid>110102</if_sid>
<match>Active: failed</match>
<description>Rsyslog service is inactive (FAILED).</description>
<group>rsyslog</group>
</rule>
不您也可以在OSSEC服务器而不是代理部署在/var/ossec/etc/ossec.conf第一部分。如果你这样做,你应该设置logcollector.remote_commands = 1
不不要忘了./ossec-control重启