主页 / server / 问题 / 828724
Accepted
dalini
Asked: 2017-01-27 03:26:22 +0800 CST

ossec 实时文件监控仅报告第一次更改,但完全更改仅由计划的后续扫描报告

  • 772

我们目前在 Windows 上运行了一些 ossec 代理,并实时监控激活的文件 - 在代理站点上具有以下配置:

<syscheck>
  <!-- Frequency that syscheck is executed - default to every 2 hours -->
  <frequency>7200</frequency>

  <directories check_all="yes" realtime="yes">D:\path1</directories>
  <directories check_all="yes" realtime="yes">D:\path2</directories>

  <disabled>no</disabled>  
  <auto_ignore>no</auto_ignore>
</syscheck>

这基本上是可行的——除了实时报告文件的第一次编辑。同一文件的任何后续更改仅通过每 7200 秒的计划扫描报告一次,但在第一次编辑后不会触发实时通知。

如果我编辑另一个以前未触及的文件 - 它会在第一次更改时再次起作用,但之后不会。

是否有任何其他设置可以检查/更改/设置以可靠地获得文件更改通知?可以查看什么来确定问题?

这有点令人费解......非常感谢您的任何意见。

windows filesystems monitoring realtime ossec

2 个回答

  1. Best Answer

    答案是:不知何故错过了领先的默认值:

    1. 您必须请求实时监控作为代理端的额外标志
    2. 您必须在服务器端禁用 auto_ignore,因为这默认为 yes -> 意味着在初始更新之后忽略来自代理的进一步更新

    在调试级别 2 中运行代理时;可以看到所有文件都受到监控,检测到更改并将数据发送到服务器。但是服务器默认会忽略它们。即使以这种方式记录,这也有点令人困惑/错过领先!在实时标志上应该注意,也必须更改服务器端 - 这两个设置的相互依赖性并不明显!

    令人困惑的是:第一次更改有效,但同一文件的第二次无效!就是这样了!

    • 1

  2. 也许是明显的或愚蠢的疏忽,但是在代理端添加 path2 后 OSSEC 是否重新启动?

    如果是这样,ossec.log 是否反映它正在正确监视 path2 目录,即

    2017/02/08 00:58:31 ossec-syscheckd: INFO: Directory set for real time monitoring: '/etc'.
2017/02/08 00:58:31 ossec-syscheckd: INFO: Directory set for real time monitoring: '/usr/bin'.

    该日志可能会提供一些线索或额外的见解。

    • 0

相关问题