Ho configurato 3 VM: server ossec e due agenti in CentOS 6 e Windows 2k8 R2. Ho completato il setup e FIM e Log Management funzionano senza intoppi. Segnala anche i nuovi file. Tuttavia, non rileva (o preferisco dire resoconti) i file cancellati. Ho cercato il gruppo di Google e non ho trovato alcuna risposta. Ho controllato che le regole siano disponibili e che la regola sia inclusa nei file di configurazione.
PS la maggior parte delle impostazioni come predefinite inizialmente installate.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>300</frequency>
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<!-- Windows files to ignore -->
<ignore>C:\WINDOWS/System32/LogFiles</ignore>
<ignore>C:\WINDOWS/Debug</ignore>
</syscheck>
config è incluso con le regole ossec_rule.xml dove la regola definisce:
<rule id="553" level="7">
<category>ossec</category>
<decoded_as>syscheck_deleted</decoded_as>
<description>File deleted. Unable to retrieve checksum.</description>
<group>syscheck,</group>
</rule>
e questa regola è inclusa nel file di configurazione.