如何检查Apache是否正在运行或是否已与Ossec崩溃?
我在其中一个代理程序的ossec.conf中添加了以下内容:
<localfile>
<log_format>full_command</log_format>
<command>service httpd status</command>
</localfile>
但即使我停止了阿帕奇,也没有任何事情出现。
原因是什么?
答案 0 :(得分:0)
您应该编写规则(如果/ var / ossec / rules /中不存在)。 我的rsyslog服务设置是:
在代理商的/var/ossec/etc/ossec.conf中,我添加了
<rule id="110102" level="1">
<if_sid>530</if_sid>
<match>ossec: output: 'Rsyslog Service Status':</match>
<options>no_log</options>
<group>rsyslog</group>
</rule>
<rule id="110103" level="10">
<if_sid>110102</if_sid>
<match>Active: inactive</match>
<description>Rsyslog service is inactive (STOP).</description>
<group>rsyslog</group>
</rule>
<rule id="110104" level="10">
<if_sid>110102</if_sid>
<match>Active: failed</match>
<description>Rsyslog service is inactive (FAILED).</description>
<group>rsyslog</group>
</rule>
{{1}}
NOT 您也可以在ossec-server而不是代理部署/var/ossec/etc/ossec.conf中的第一部分。如果你这样做,你应该设置 logcollector.remote_commands = 1
不不要忘记 ./ ossec-control restart