Sto iniziando con OSSEC per il controllo dell'integrità dei file in un gruppo di server Windows e CentOS. E vorrei mantenere una configurazione centralizzata di cosa controllare per tutti i miei agenti, in base al loro sistema operativo.
Rerearching about configuration centralized agent Ho scoperto che posso creare un /var/ossec/etc/shared/agent.conf che diffonde la mia volontà a tutti i miei agenti, ma sto cercando di capire come usarlo.
Sulla base dell'esempio dei documenti OSSEC, voglio fare qualcosa del genere:
<agent_config os="Linux">
<localfile>
<location>/var/log/my.log2</location>
<log_format>syslog</log_format>
<syscheck>
<frequency>7200</frequency>
<auto_ignore>no</auto_ignore>
<alert_new_files>yes</alert_new_files>
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
</syscheck>
</localfile>
</agent_config>
<agent_config os="Windows">
<localfile>
<location>C:\myapp\my.log</location>
<log_format>syslog</log_format>
<syscheck>
<frequency>7200</frequency>
<auto_ignore>no</auto_ignore>
<alert_new_files>yes</alert_new_files>
<directories check_all="yes">ProgramFiles</directories>
<directories check_all="yes">ProgramFiles(x86)</directories>
<directories check_all="yes">System32 </directories>
<directories check_all="yes">SysWOW64</directories>
</syscheck>
</localfile>
</agent_config>