前書き
-
OSSEC *は、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。
サーバーにインストールできる最も重要なセキュリティアプリケーションの1つであり、1台または数千台のクライアント/サーバーまたはエージェント/サーバー方式で監視するために使用できます。 適切に構成されていれば、OSSECは、構成された任意の数の電子メールアドレスへの電子メールアラートを介して、サーバーで何が起こっているかを表示できます。
このチュートリアルでは、FreeBSD 10.1を実行しているDigitalOcean Dropletを監視するためにOSSECをインストールおよび構成する方法を示します。 ユーザーアクセスと整合性チェックのためのOSSECのデフォルトルールセットに加えて、ファイルが変更またはシステムに追加された場合、OSSECがメールで通知するように追加のルールを設定します。
OSSECが送信するアラートのタイプの例を次に示します。
OSSEC HIDS Notification.
2015 Jan 25 11:42:49
Received From: liniverse->syscheck
Rule: 551 fired (level 7) -> "Integrity checksum changed again (2nd time)."
Portion of the log(s):
Integrity checksum changed for: '/usr/local/etc/ssmtp/ssmtp.conf'
Size changed from '1367' to '1384'
What changed:
36c36,37
< UseTLS=YES
---
#UseTLS=YES
UseSTARTTLS=YES
Old md5sum was: '39f219a7db9987c3623d5a2f7511dfc1'
New md5sum is : '9971ecc1b0c744ee3f744255248e7c11'
Old sha1sum was: 'fc945ffc84b243cd36f8dd276f99c57f912f902b'
New sha1sum is : '1289fe0008a3d8bf74db8f73c09bf18db09572cc'
--END OF NOTIFICATION
注: OSSECは現在、LinuxおよびWindowsでのみリアルタイムでアラートを送信できます。 FreeBSDでのリアルタイムアラートはまだ進行中です。そのため、ファイル削除のアラートはFreeBSDでは機能しません。
前提条件
OSSECは、アクティブ応答機能のためにシステム上でアクティブなファイアウォールを必要とします。 サーバーがNTPを有効にするよう要求する正確な時間を保持することも重要です。 最後に、サーバーのタイムゾーンを設定する必要があります。デフォルトではUTCです。
したがって、このチュートリアルでは、次のものが必要です。
-
FreeBSD 10.1を実行する新しいドロップレット。
-
ファイアウォールが有効、NTPが有効、タイムゾーンが設定されている。 これを行うには、https://www.digitalocean.com/community/tutorials/recommended-steps-for-new-freebsd-10-1-servers [新しいFreeBSD 10.1サーバーの推奨手順]の指示に従ってください。 追加のスワップ領域を設定するセクションは無視してください。
注: OSSECが機能するためにUDPファイアウォールのアクセス許可は必要ありませんが、サーバーで実行しているサービスによっては、UDPトラフィックを許可する必要があります。
NTPの有効化が完了したら、次のように入力して、NTPの実行を確認できます。
sudo service ntpd onestatus
出力は以下のようになりますが、プロセスID(pid)が異なります。
ntpd is running as pid .
また、「+ date」と入力して、タイムゾーンが正しく設定されていることを確認できます。 選択したタイムゾーンが出力されます。
オプション
これらの次の2つの変更はどちらも必要ではありませんが、FreeBSDを初めて使用する人にとってより使いやすいものにすることが一般的に推奨されています。
-
Bashをインストールして有効にします。
`+ tsch +`は、FreeBSD 10.1のデフォルトのシェルです。 Bashを使用する場合は、https://www.digitalocean.com/community/tutorials/how-to-get-started-with-freebsd-10-1の_Changing the Default Shell_の指示に従ってインストールできます。 [FreeBSD 10.1の開始方法]。 これにより、今後のすべてのログインセッションを含め、デフォルトのシェルが永続的にBashに設定されます。
-
`+ nano +`をインストールします。
FreeBSDのデフォルトのターミナルエディタは「+ Vi 」であり、強力ではありますが、新しいユーザーにとっては直感的ではありません。 ` nano `はモードレスであり、 ` Vi +`と比較して新規ユーザーの複雑さの一部を排除します。
任意のエディターを使用できますが、このチュートリアルでは「+ nano +」を使用します。 ターミナルに入ることでインストールできます:
sudo pkg install nano
手順1-システムの更新
ログインして、利用可能なセキュリティとパッケージのアップデートをシステムに適用します。 まだログインしていない場合は、次のように入力してログインします。
ssh freebsd@
上記のコマンドのIPアドレスをサーバーの実際のIPアドレスに置き換えます。 FreeBSDのデフォルトユーザーは* freebsd *であり、 `+ sudo +`特権があります。 ログインしたら、次のように入力して、利用可能なセキュリティ更新プログラムを照会してインストールします。
sudo freebsd-update fetch install
それが完了したら、利用可能なパッケージアップデートをインストールします。
sudo pkg upgrade
これらのコマンドからカーネルの更新があった場合は、サーバーを再起動してからログインし直してください。
手順2-OSSECのインストールと有効化
FreeBSDには、OSSECのインストールに使用できる3つの方法があります。プロジェクトのhttps://ossec.net [website]から、ポートツリーから最新のバイナリをダウンロードするか、FreeBSDから事前に作成されたバイナリをインストールします。倉庫。 最後の方法は最も単純で、このチュートリアルで使用する方法です。 また、OSSECを更新するのも簡単です。
FreeBSD 10.1で利用可能なOSSECバイナリパッケージを確認するには、次のように入力します。
sudo pkg search ossec
出力は次のようになります。
ossec-hids-client-2.8.1_1
ossec-hids-local-2.8.1_1
ossec-hids-server-2.8.1_1
OSSECを使用して、インストールされているサーバーのみを監視すること(ローカルインストール)が目的であるため、インストールするバイナリパッケージは「+ ossec-hids-local-2.8.1_1 +」またはローカルパッケージのバージョンです。 クライアントバイナリを使用すると、サーバーバイナリが別のドロップレットにインストールされている場合、OSSECサーバーに報告するOSSECエージェントをインストールできます。
ローカルバイナリをインストールするには、次のように入力します。
sudo pkg install ossec-hids-local-2.8.1_1
インストール出力ごとに、OSSECは `+ chroot `を ` / usr / local / ossec-hids +`に格納するため、その設定ファイルとディレクトリはそのディレクトリの下にあります。
OSSECをインストールしたら、起動時に起動できるように有効化する必要があります。 有効にするには。 もう一度 `+ / etc / rc.conf +`を開きます。
sudo nano /etc/rc.conf
以下の行を追加してください。
# For OSSEC HIDS
ossechids_enable="YES"
最後に、ファイルを保存して閉じます。
手順3-OSSEC通知の電子メール資格情報を設定する
リポジトリからOSSECをインストールしたため、その構成ファイルの電子メール設定はダミー設定です。 通知を受信するには、実際の電子メール資格情報を提供する必要があります。 それを修正するには、 `+ / usr / local / ossec-hids / etc `にある ` ossec.conf +`ファイルを修正する必要があります。
`+ ossec.conf +`はOSSECにとって非常に重要な設定ファイルなので、編集を開始する前にバックアップコピーを作成してください。
sudo cp /usr/local/ossec-hids/etc/ossec.conf /usr/local/ossec-hids/etc/ossec.conf.00
元のファイルを開きます。
sudo nano /usr/local/ossec-hids/etc/ossec.conf
変更する必要がある最初の部分は、ファイルの一番上にあり、以下に示されています。 これらの設定は、OSSECにアラートの送信先と使用するSMTPサーバーを指示します。
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>smtp.xxx.com.</smtp_server>
<email_from>[email protected].</email_from>
</global>
Sendmail
FreeBSD 10.1にはデフォルトでSendmailが付属しています。OSSECのメール通知に使用する場合は、以下に示すように* smtp_server を localhost *に設定する必要があります。
<global>
<email_notification>yes</email_notification>
<email_to></email_to>
<smtp_server></smtp_server>
<email_from></email_from>
</global>
注意: Sendmailは、受信メールと送信メールの両方を処理できます。 Sendmailのインバウンドサービスが必要ない場合は、以下の行を `+ / etc / rc.conf +`に追加します。
# For Sendmail
sendmail_enable="NO"
サードパーティのSMTPサーバー
ただし、サードパーティのSMTPサーバーを指定し、Sendmailのローカルインスタンスを使用しない場合、「+ ossec.conf +」の電子メール通知領域は次のようになります。
<global>
<email_notification>yes</email_notification>
<email_to></email_to>
<smtp_server></smtp_server>
<email_from></email_from>
</global>
必要なメール設定をすべて指定したら、ファイルを保存して閉じます。 OSSECがアラートを送信できることを確認するには、次のように入力して開始します。
sudo /usr/local/ossec-hids/bin/ossec-control start
すべてうまくいけば、この種の設定されたアドレスでメールを受信するはずです:
OSSEC HIDS Notification.
2015 Jan 23 23:08:32
Received From: liniverse->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
--END OF NOTIFICATION
電子メールが届かない場合は、スパムフォルダーを確認してください。
ステップ4-syscheckの構成
ここから、 `+ ossec.conf +`で作業を続けます。 構成の編集は、ファイルに表示される順序で表示されます。
sudo nano /usr/local/ossec-hids/etc/ossec.conf
syscheck間隔を調整します
「+ syscheck +」はOSSECの整合性チェックプロセスであり、不正な変更の証拠についてファイルシステムをスキャンおよびチェックサムする頻度をsyscheckに伝えることができます。
-
syscheck *セクションまでスクロールします。 最初の2行は次のようになります。
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>
この設定により、OSSECは17200秒ごとに1回システムチェックを実行します。 これは、運用システムにとって適切な頻度の間隔です。 ただし、FreeBSD上のOSSECのバイナリインストールではリアルタイム通知はサポートされていないため、その値を秒単位などに減らすことをお勧めします。 その後、OSSECをテストするときに、短い時間枠内で通知を受信できます。 テスト後、デフォルトに戻すことができます。
監視するディレクトリを指定する
OSSECのデフォルトのインストールはLinux-leaningであるため、デフォルトの監視対象ファイルおよびディレクトリは、Linuxシステムで通常見られるものを反映しています。 したがって、FreeBSDのインストールに合わせて変更する必要があります。 これらのディレクトリは、変更した以前の設定のすぐ下にリストされ、デフォルトは次のとおりです。
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
前述のように、これらの設定はLinuxサーバーには適していますが、FreeBSDサーバーには変更が必要です。 以下は、FreeBSD 10.1サーバーの推奨設定です。
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
freebsd
赤の2行が追加されました。 最初の追加はFreeBSDサーバーに固有のもので、2番目の追加はOSSECに* freebsd *ホームディレクトリを監視することを通知します。 別のユーザー名で操作している場合は、それに合わせて「+ / home / +」を変更します。
注意: `+ / usr / local / www +`ディレクトリはWebサーバーのデータがFreeBSDに保存される場所です。 ウェブサイトをホストする場合、ウェブサイトのデータはすべてそのディレクトリにあります。 これにより、注意深い監視を行う重要なディレクトリになります。
無視するファイルまたはディレクトリを指定する
`+ ossec.conf +`の次のセクションは、OSSECが頻繁に変更する傾向があり、誤検出が多すぎるため無視するファイルのリストです。 デフォルトのファイルリストを以下に示します。
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<ignore>/etc/hosts.deny</ignore>
<ignore>/etc/mail/statistics</ignore>
<ignore>/etc/random-seed</ignore>
<ignore>/etc/adjtime</ignore>
<ignore>/etc/httpd/logs</ignore>
繰り返しますが、デフォルトのリストはLinuxシステムに固有のものです。 たとえば、FreeBSD 10.1はデフォルトで `+ mtab `ファイルまたは ` hosts.deny +`ファイルを使用しません。
それでは、どのファイルをFreeBSD 10.1サーバー上で無視するようにOSSECを設定すべきでしょうか? ほとんどの場合、それはサーバーにインストールしたものに依存するため、進行中に把握する必要があるものです。
たとえば、 `+ hosts.deny `ファイルは ` hosts.allow `ファイルとマージされました。 したがって、それはあなたが無視したいものかもしれません。 ただし、「 hosts.allow +」ファイルに注目すると、接続試行が拒否されたすべてのIPアドレスが保持されるため、誰がサーバーに石を投げているかを知ることができます。
Bashをインストールした場合、「。bash_profile +」は無視するのに適しています。ただし、そのファイルでアラートを出すと、サーバーで実行されているコマンドを把握できます。 送信専用メールサーバーであるsSMTPをインストールした場合、その ` dead.letter `ファイルは無視できる別のファイルです。 また、 ` lsof `をインストールした後、 ` .lsof_HOSTNAME +`ファイルは無視できます。
一般的なポイントはこれです:アプリケーションをインストールした後、 `+ / home +`に隠しディレクトリが作成されているかどうかを確認します。 その隠しファイルは無視するのに適した候補です。 疑わしい場合は、* Files / directories to ignore *セクションを変更しないでください。 OSSECが送信するアラートに注目してください。 それらの内容は、無視するようにOSSECを構成する必要があるファイルのアイデアを提供します。
このセクションをさらに支援するために、このチュートリアルでデフォルトユーザー* freebsd *を使用したテストサーバーでの表示を次に示します。
<!-- Files/directories to ignore -->
<ignore>/home//dead.letter</ignore>
<ignore>/home//.bash_profile</ignore>
<ignore>/home//.lsof_liniverse</ignore>
<ignore>/etc/dumpdates</ignore>
<ignore>/usr/local/ossec-hids/logs</ignore>
<ignore>/usr/local/ossec-hids/queue</ignore>
<ignore>/usr/local/ossec-hids/var</ignore>
<ignore>/usr/local/ossec-hids/tmp</ignore>
<ignore>/usr/local/ossec-hids/stats</ignore>
ご覧のとおり、そのリストはOSSECインストールツリーの下のいくつかのディレクトリを無視します。 これらのディレクトリを無視しないと、システムが非常に短時間でディスク領域を使い果たす可能性があります。
手順5-ルートチェックの構成
`+ ossec.conf +`の次の目的地は* rootcheck *セクションです。 ルートチェックは、システムのルートキットをスキャンするOSSECのコンポーネントです。 デフォルトでは、次のようになります。
<rootcheck>
<rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>
FreeBSD 10.1のOSSECは `+ / var / ossec `にはインストールされませんが、 ` / usr / local / ossec-hids +`にインストールされるため、これらの行を変更してそれを反映します。 その後、そのセクションは次のようになります。
<rootcheck>
<rootkit_files>/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>
`+ ossec.conf +`で変更する必要があるのはこれだけです-今のところ。 保存して閉じます。後でまた戻ってきます。 すべてが正しく設定されたことを確認するには、OSSECを再起動してください。
sudo /usr/local/ossec-hids/bin/ossec-control restart
再起動は成功するはずです。 構成エラーが返された場合は、手順4と5のエントリを再確認してください。
手順6-監視するログファイルを指定する
OSSECのデフォルトのインストールは、場所がLinuxシステムに固有のログファイルを監視するように設定されています。 FreeBSD 10.1では、これらのファイルのいくつかは名前が若干異なりますが、それらはまだ同じ `+ / var / log +`ディレクトリにあります。
OSSECのログファイル( + / var / log / ossec-hids / logs / ossec.log +
)を見ると、次のようなエントリが表示されます。
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/authlog'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/secure'
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/xferlog'
-
ERROR:Unable to open file *を含むエントリは、OSSECが存在しないか、アクセス権が間違っている可能性があるために検出できなかったファイルを示します。 結論を出す前に、システムに当てはまるものを確認してください。
OSSECがFreeBSD 10.1で監視するログファイルの場所を確認する方法は次のとおりです。 `+ lsof `を使用して、実行時にシステムが使用している開いているファイルを一覧表示します。 ` lsof +`はデフォルトではインストールされないため、最初にインストールします:
sudo pkg install lsof
次に、ログファイルチェックを実行するには、次のコマンドを使用します。
lsof | grep log | grep -v ".so" | egrep -v "ossec|proc|dev|run"
そのコマンドが実行しているのは、開いているすべてのファイルを釣り、興味のあるログファイルを保持し、残りを投棄することです。 OSSECのインストールディレクトリ、または「+ / proc 」、「 / dev 」、「 / var / run +」のファイルを監視することは絶対に避けたいものです。 ログファイルのリストを含む出力を取得する必要があります。 次のコードブロックは、このチュートリアルで使用したテストシステムの出力の一部を示しています。
syslogd ... root ... /var/log/messages
syslogd ... root ... /var/log/security
syslogd ... root ... /var/log/auth.log
syslogd ... root ... /var/log/maillog
syslogd ... root ... /var/log/lpd-errs
その出力の名前とOSSECのログファイルの出力の名前を比較すると、 + / var / log / auth.log +`が `+ / var / log / authlog +`および `+と同じであることが簡単にわかります。 / var / log / security + `は、FreeBSDの
+ / var / log / secure + `と同等です。
ここで、もう一度 `+ ossec.conf +`を開き、FreeBSD 10.1で使用されている名前と一致するようにログファイルの名前を変更します。
sudo nano /usr/local/ossec-hids/etc/ossec.conf
以下のコードブロックは、変更された行がどうあるべきかの例を示しています。 サーバーにインストールして実行している特定のサービスのログの場所を追加する必要があります。 Nginx、Apacheなどのサービス
<!-- Files to monitor (localfiles) -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/</location>
</localfile>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/</location>
</localfile>
util.shを使用したログファイルエントリの追加
OSSECをインストールした後、監視したいカスタムディレクトリにログファイルがある場合、OSSECの `+ util.sh `コマンドを使用して追加するか、nanoで ` ossec.conf +`を開いて追加できます手動で。
たとえば、Nginxをインストールし、そのアクセスファイルとエラーログファイルが `+ / var / log / nginx `ディレクトリにある場合、次のように ` util.sh `を使用して ` ossec.conf +`に追加できます。
/usr/local/ossec-hids/bin/util.sh addfile /var/log/
/usr/local/ossec-hids/bin/util.sh addfile /var/log/
*注:*これらの2つのコマンドが表示されたとおりに実行し、Nginxがインストールされていない場合、ログファイルが存在しないというエラーが表示されます。
この時点で、 `+ ossec.conf +`に最後の変更を加える必要があるため、次のステップに進むときにファイルを開いたままにしておきます。
手順7-新しいファイルのアラート
デフォルトでは、OSSECはシステムで新しいファイルが作成されたときに警告を出さないため、その動作を変更します。 この変更には2つのコンポーネントがあります。
syscheckを設定する
`+ ossec.conf `の ` syscheck +`エリアosまでスクロールバックし、周波数チェック間隔のすぐ下に* alertnewfiles *行を追加します。
結果は次のようになります。
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>
これで、 `+ ossec.conf +`を保存して閉じることができます。 これで終わりです。
ルールの分類レベルを変更する
新しく作成されたファイルを監視するように「+ syscheck +」に指示しましたが、OSSECは実際にそれらについてまだ通知しません。 そのために、デフォルトのOSSECルールを変更する必要があります。
`+ nano `で ` ossec rules.xml`を開きます。
sudo nano /usr/local/ossec-hids/rules/ossec_rules.xml
ファイルが監視対象ディレクトリに追加されたときに起動するルールは、ルール* 554 *です。 表示は次のとおりです。
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
ルールの* level が 0 *に設定されている場合、OSSECはアラートを送信しないため、そのルールを `+ local_rules.xml `にコピーし、アラートをトリガーするように変更する必要があります。 マウスまたはタッチパッドを使用して、「 nano +」でルールを強調表示し、コピーしてホストマシンのテキストエディターに一時的に貼り付けることができます。
ここで、 `+ local_rules.xml`を開きます。これは、ユーザーが変更したすべてのOSSECルールを配置する場所です。 「+ ossec ruleset.xml」を変更しないでください。
sudo nano /usr/local/ossec-hids/rules/local_rules.xml
ホストマシンのテキストエディターからルールを「+ nano 」に貼り付けるには、「 CONTROL + SHIFT + V 」を使用します。 * group *タグ内に貼り付けてください。 通知レベルを「+7」に変更し、このルールが「+ ossec_rules.xml +」のルール* 554 *を上書きすることをOSSECに伝えます。
完了したら、 `+ local_rules.xml`ファイルの終わりは以下のようになります。 最初の行は、元のルールから変更されたすべてです。
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
</group> <!-- SYSLOG,LOCAL -->
<!-- EOF -->
すべてが完了したら、ファイルを保存して閉じ、次のように入力してOSSECを再起動します。
sudo /usr/local/ossec-hids/bin/ossec-control restart
結論
OSSECを再起動した直後に、SMTPサーバーを構成する際の手順3で行ったように、OSSECが開始されたことを示すアラートを受信する必要があります。 さまざまなルールレベルとそれらが意味する重大度に精通することをお勧めします。 それらについては、http://ossec-docs.readthedocs.org/en/latest/manual/rules-decoders/rule-levels.html [OSSEC documentation]で読むことができます。
また、OSSECが次のシステムチェックを実行した後、新しいシステムから期待できる標準のアラートも受信する必要があります。 サーバーで設定した直後に表示される可能性がある(またはそのバリエーションを表示する)通知を次に示します。
ユーザー* freebsd *が初めてsudoコマンドを実行したとき。
OSSEC HIDS Notification.
2015 Jan 24 07:10:56
Received From: liniverse->/var/log/auth.log
Rule: 5403 fired (level 4) -> "First time user executed sudo."
Portion of the log(s):
Jan 24 02:10:56 liniverse sudo: freebsd : TTY=pts/1 ; PWD=/usr/home/freebsd ; USER=root ; COMMAND=/usr/sbin/pkg install namp
--END OF NOTIFICATION
OSSECは、hosts.allowでIPアドレス93.50.186.75をブロックしました。
OSSEC HIDS Notification.
2015 Jan 25 02:06:47
Received From: Freebsd->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):
Integrity checksum changed for: '/etc/hosts.allow'
Size changed from '3408' to '3434'
What changed:
93a94
ALL : 93.50.186.75 : deny
Old md5sum was: 'f8ba903734ee1bd6afae641974a51522'
New md5sum is : '56dfbd3922cf7586b81b6575f6564196'
Old sha1sum was: 'a7a9886aa90f2f6aaa7660490809d6a0717b8d76'
New sha1sum is : '6a0bf14c4614976d2c2e1157f157ae513f3f9cfc'
--END OF NOTIFICATION
ファイル `+ ngx.txt `は ` / home / freebsd +`に作成されました。
OSSEC HIDS Notification.
2015 Jan 24 20:08:38
Received From: liniverse->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/home/freebsd/ngx.txt' added to the file system.
--END OF NOTIFICATION
これにより、OSSECが提供するものの味がわかることを願っています。 前述のように、リアルタイムアラートとファイル削除のアラートは、FreeBSDではまだサポートされていません。 ただし、それらに関する機能のリクエストは、プロジェクトのGitHubページで行われています。 OSSECの詳細については、プロジェクトのウェブサイトhttp://www.ossec.net [http://www.ossec.net/]をご覧ください。