翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/file-log-monitoring.html
文件监控
概述
OSSEC有一个名为 ossec-logcollector的进程,它可以监视日志文件的新事件。当新的日志消息到达时,它将它们转发到其他进程进行分析或传输到一个OSSEC服务器。
配置项
ossec-logcollector的配置在/var/ossec/etc/ossec.conf文件中<ossec_config>元素中.
配置示例
简单示例
配置要监视的日志文件是很简单的。只需提供要监视的文件的名称和格式:
Windows事件日志示例
要监控一个Windows事件日志,您需要提供格式为“eventlog”,文件名是eventlog。如:
Windows EventChannel示例
要监视Windows Vista或晚些时候的Windows事件日志,您可以使用“eventchannel”日志格式。文件名是eventlog。这是监视应用程序和服务日志的唯一方法。如果文件名包含一个“%4”,那么用“/”替换它。如:
多文件示例
为了检查多个文件,OSSEC支持posix正则表达式。例如,要分析在/var/log目录中以.log结尾的每个文件,请使用以下配置:
基于日期的示例
对于那些根据日期变化的日志文件,您还可以指定一个strftime格式来代替日期、月份、年等等。例如,要监视日志C:\Windows\app\log-08-12-15.log:
通配符不能与基于日期的格式相结合。
IIS日志示例
对IIS(5和6)的支持可用于NCSA格式(Web only)和W3C扩展格式(用于Web、FTP和SMTP)。默认情况下,安装脚本将尝试配置OSSEC来监视web的第一个虚拟主机(W3SVC1到W3SVC254)、ftp(MSFTPSVC1到MSFTPSVC254)和smtp(SMTPSVC1到smtpsv254)。要监视任何其他文件,您需要手动添加一个新条目。
除此之外,还要确保将日志的时间设置为每天。
并使用本地时间进行文件命名和翻转。
在扩展的日志记录属性中,将其配置为记录日期、时间和所有扩展属性。
下面是一个配置的示例,用于监视IIS web的虚拟服务器2