OSSEC 的另一個吸引人的地方，就是active-response，可以針對規(guī)則進(jìn)行自動處理。不過最好慎用這個功能，否則，干掉了不該干掉的東西，那后果非常嚴(yán)重，所以，用這個東西，自動進(jìn)行報警，還是不錯的選擇。

這里還是先給出一個標(biāo)準(zhǔn)配置，進(jìn)行說明：

<command>

<name>test</name> //這個command 的名字，active-response 之后調(diào)用的

<executable>test.sh</executable> //腳本的名字，需要把這個腳本放到 /var/ossec/active-response/bin下 而且需要有執(zhí)行權(quán)限，屬于ossec 這個組 -r-xr-x— 1 root ossec 445 11-09 16:15 test.sh

<timeout_allowed>no</timeout_allowed> //超時設(shè)置 比如多長時間失效等等

<expect></expect> //例外，一般不設(shè)置

</command>

<active-response> //這兒需要放到 <command> 下面，否則 就會出現(xiàn)找不到command

<command>test</command> // 響應(yīng)的command 的名字，就是上面定義的那個

<location>server</location> //響應(yīng)的位置，server 就是服務(wù)器響應(yīng)，比如執(zhí)行一個腳本，agent 就是客戶端響應(yīng)

<level>1</level> //響應(yīng)的級別。 就是1 級以上就響應(yīng)

</active-response>

最后，再來看腳本文件，這個腳本就是添加一個用戶。

文件名 ：test.sh

useradd lion

ACTION=$1

USER=$2

IP=$3

LOCAL=`dirname $0`;

cd $LOCAL

cd ../

PWD=`pwd`

# Logging the call

echo “`date` $0 $1 $2 $3 $4 $5″ >> ${PWD}/../logs/active-responses.log

參考http://www.ossec.net/doc/manual/ar/index.html