我们目前在 Windows 上运行了一些 ossec 代理,并实时监控激活的文件 - 在代理站点上具有以下配置:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 2 hours -->
<frequency>7200</frequency>
<directories check_all="yes" realtime="yes">D:\path1</directories>
<directories check_all="yes" realtime="yes">D:\path2</directories>
<disabled>no</disabled>
<auto_ignore>no</auto_ignore>
</syscheck>
这基本上是可行的——除了实时报告文件的第一次编辑。同一文件的任何后续更改仅通过每 7200 秒的计划扫描报告一次,但在第一次编辑后不会触发实时通知。
如果我编辑另一个以前未触及的文件 - 它会在第一次更改时再次起作用,但之后不会。
是否有任何其他设置可以检查/更改/设置以可靠地获得文件更改通知?可以查看什么来确定问题?
这有点令人费解......非常感谢您的任何意见。