如何檢查Apache是否正在運行或與Ossec崩潰?如何檢查Apache是否被Ossec停止或崩潰?
我加入的ossec.conf下面的代理商之一:
<localfile>
<log_format>full_command</log_format>
<command>service httpd status</command>
</localfile>
但沒有什麼是顯示出來,甚至當我停止Apache。
原因是什麼?
您應該編寫規則(如果它不存在於/ var/ossec/rules /中)。 我的設置爲rsyslog現在的服務是:
在代理/var/ossec/etc/ossec.conf,我在/var/ossec/rules/local_rules.xml添加
<localfile>
<log_format>command</log_format>
<command>service rsyslog status</command>
<frequency>45</frequency>
<alias>Rsyslog Service Status</alias>
</localfile>
在OSSEC服務器,
<rule id="110102" level="1">
<if_sid>530</if_sid>
<match>ossec: output: 'Rsyslog Service Status':</match>
<options>no_log</options>
<group>rsyslog</group>
</rule>
<rule id="110103" level="10">
<if_sid>110102</if_sid>
<match>Active: inactive</match>
<description>Rsyslog service is inactive (STOP).</description>
<group>rsyslog</group>
</rule>
<rule id="110104" level="10">
<if_sid>110102</if_sid>
<match>Active: failed</match>
<description>Rsyslog service is inactive (FAILED).</description>
<group>rsyslog</group>
</rule>
不您也可以在OSSEC服務器而不是代理部署在/var/ossec/etc/ossec.conf第一部分。如果你這樣做,你應該設置logcollector.remote_commands = 1
不不要忘了./ossec-control重啓