ossec 可以對文件進(jìn)行檢查，包括文件是否修改，修改的內(nèi)容(正常手段，有時(shí)候)，文件屬性等等。

關(guān)于文件的監(jiān)控，在OSSEC.CONF文件中

<ossec_config>

<syscheck>

。。。。文件監(jiān)控內(nèi)容

</syscheck>

</ossec_config>

先給出一份簡單的配置選項(xiàng)

<syscheck>

<!-- Frequency that syscheck is executed - default to every 22 hours -->

<frequency>79200</frequency>

<!-- Directories to check (perform all possible verifications) -->

<alert_new_files>yes</alert_new_files>

<directories check_all="yes" realtime="yes" report_changes="yes">/103</directories>

<!-- Files/directories to ignore -->

<ignore>/etc/mtab</ignore>

<!-- Windows files to ignore -->

<ignore>C:\WINDOWS/System32/LogFiles</ignore>

</syscheck>

介紹一下

<frequency> 掃描頻率 每隔多長時(shí)間進(jìn)行掃描

<alert_new_files> 是否報(bào)告新文件 默認(rèn)是no 的，而且，這里即使設(shè)置yes 由于OSSEC文件創(chuàng)建的默認(rèn)RULE 告警級別是0 所以也不會顯示，所以如果要顯示新文件告警，還需要修改RULE 規(guī)則，或者新創(chuàng)建一個規(guī)則，覆蓋掉原有規(guī)則。 見附一

<directories check_all="yes" realtime="yes" report_changes="yes">

這里是監(jiān)控的目錄ossec 會對目錄和文件進(jìn)行監(jiān)控，但如果使用了realtime 進(jìn)行監(jiān)控，則這里必須是目錄。

check_all ：檢測所有選項(xiàng) 包括文件的MD5，SH1 文件大小，宿主等等。

report_changes : 報(bào)告文件改變。

<ignore>：忽略文件

還有一個auto_ignore: 使用方式 <auto_ignore>yes|or</auto_ignore> 為了防止文件被頻繁改變而產(chǎn)生報(bào)警，如果是yes則默認(rèn)3次之后不會產(chǎn)生告警，為no則改變就發(fā)生報(bào)警。 目前貌似只能全局生效，不能針對單個文件或者目錄。

配置完成后，重啟OSSEC 即可。 #service ossec restart

附一 新建文件告警：

在ossec 安裝目錄的 rules 下 （/var/ossec/rules) 新建一個規(guī)則.xml（需要在ossec.conf 里包含）或者直接編輯local_rules.xml，增加

<rule id="554" level="10" overwrite="yes">

<category>ossec</category>

<decoded_as>syscheck_new_entry</decoded_as>

<description>File added to the system.</description>

<group>syscheck,</group>

</rule>

附二 參考：http://www.ossec.net/doc/manual/syscheck/index.html