目前我只看到可以在OSSec中发送警报的电子邮件通知。在发出警报时有没有办法进行http呼叫?
答案 0 :(得分:0)
我找不到直接向webhook网址发送ossec通知的方法。但是,我得到了logstash的帮助,我们将其用于日志解析和索引。我添加了一个logstash输出,其配置如下:
output {
if [type] == "ossec_alert" {
http {
http_method => "post"
url => "https://mythhpwebhook.com?key=1234"
content_type => "application/json"
mapping => ["Subject", "OSSEC Alert: %{signature}", "Message", "%{message}"]
}
}
}
不:消息和签名是从应用于ossec输入的过滤器变化的。
答案 1 :(得分:0)
我发现,您可以通过主动响应发送ossec通知:查看此example和此ossec-tweeter.sh