序章
OSSEC は、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。
これは、サーバーにインストールできる最も重要なセキュリティアプリケーションの1つであり、クライアント/サーバーまたはエージェント/サーバーの方法で1台または数千台のマシンを監視するために使用できます。 適切に構成されている場合、OSSECは、構成された任意の数の電子メールアドレスへの電子メールアラートを介して、サーバーで何が起こっているかを表示できます。
このチュートリアルでは、FreeBSD10.1を実行しているDigitalOceanDropletを監視するためにOSSECをインストールおよび設定する方法を示します。 ユーザーアクセスと整合性チェックのためのOSSECのデフォルトのルールセットに加えて、ファイルが変更またはシステムに追加された場合にOSSECが電子メールで通知するように追加のルールを構成します。
OSSECが送信するアラートのタイプの例を次に示します。
OSSEC HIDS Notification.
2015 Jan 25 11:42:49
Received From: liniverse->syscheck
Rule: 551 fired (level 7) -> "Integrity checksum changed again (2nd time)."
Portion of the log(s):
Integrity checksum changed for: '/usr/local/etc/ssmtp/ssmtp.conf'
Size changed from '1367' to '1384'
What changed:
36c36,37
< UseTLS=YES
---
#UseTLS=YES
UseSTARTTLS=YES
Old md5sum was: '39f219a7db9987c3623d5a2f7511dfc1'
New md5sum is : '9971ecc1b0c744ee3f744255248e7c11'
Old sha1sum was: 'fc945ffc84b243cd36f8dd276f99c57f912f902b'
New sha1sum is : '1289fe0008a3d8bf74db8f73c09bf18db09572cc'
--END OF NOTIFICATION
注: OSSECは現在、LinuxとWindowsでのみリアルタイムでアラートを出すことができます。 FreeBSDでのリアルタイムの警告はまだ進行中であり、そのため、ファイルの削除に関する警告はFreeBSDでは機能しません。
前提条件
OSSECは、アクティブな応答機能のために、システム上でアクティブなファイアウォールを必要とします。 サーバーがNTPを有効にするために必要な正確な時刻を維持することも重要です。 最後に、サーバーのタイムゾーンを設定する必要があります。デフォルトではUTCです。
したがって、このチュートリアルでは、次のものが必要になります。
-
FreeBSD10.1を実行する新しいDroplet。
-
ファイアウォールが有効で、NTPが有効で、タイムゾーンが構成されています。 これを行うには、新しいFreeBSD10.1サーバーの推奨手順の指示に従ってください。 余分なスワップスペースを設定するセクションは無視してください。
注: OSSECが機能するためにUDPファイアウォールのアクセス許可は必要ありませんが、サーバーで実行しているサービスによっては、UDPトラフィックを許可する必要がある場合があります。
NTPの有効化が終了したら、次のように入力して、NTPが実行されていることを確認できます。
sudo service ntpd onestatus
出力は以下のようになりますが、プロセスID(pid)が異なります。
ntpd is running as pid 581.
date
と入力して、タイムゾーンが正しく設定されていることを確認することもできます。 選択したタイムゾーンが出力に表示されます。
オプション
これらの次の2つの変更はどちらも必要ありませんが、FreeBSDを初めて使用する人にとって、よりユーザーフレンドリーにするために一般的に提案されています。
- Bashをインストールして有効にします。
tsch
は、FreeBSD10.1のデフォルトのシェルです。 Bashを使用したい場合は、 FreeBSD10.1の開始方法のデフォルトシェルの変更の手順に従ってBashをインストールできます。 これにより、今後のすべてのログインセッションを含め、デフォルトのシェルが永続的にBashに設定されます。
nano
をインストールします。
FreeBSDのデフォルトのターミナルエディタはVi
であり、強力ですが、新しいユーザーにとっては直感的ではない可能性があります。 nano
はモードレスであり、Vi
と比較して新しいユーザーの複雑さの一部を排除します。
選択したエディターを使用できますが、このチュートリアルではnano
が使用されます。 ターミナルに入るとインストールできます:
sudo pkg install nano
ステップ1-システムを更新する
ログインして、利用可能なセキュリティとパッケージの更新をシステムに適用します。 まだログインしていない場合は、次のように入力してログインします。
ssh freebsd@111.111.111.111
上記のコマンドのIPアドレスをサーバーの実際のIPアドレスに置き換えます。 FreeBSDのデフォルトユーザーはfreebsdであり、sudo
特権を持っています。 ログインしたら、次のように入力して、利用可能なセキュリティ更新プログラムを照会してインストールします。
sudo freebsd-update fetch install
それが完了したら、利用可能なパッケージアップデートをインストールします。
sudo pkg upgrade
これらのコマンドからカーネルの更新があった場合は、サーバーを再起動してから、再度ログインします。
ステップ2-OSSECをインストールして有効にする
FreeBSDでは、OSSECをインストールするために使用できる3つの方法があります。プロジェクトのウェブサイトから、ポートツリーから最新のバイナリをダウンロードするか、FreeBSDリポジトリから作成済みのバイナリをインストールします。 最後の方法ははるかに簡単で、このチュートリアルで使用する方法です。 また、OSSECの更新も簡単になります。
FreeBSD 10.1で利用可能なOSSECバイナリパッケージを確認するには、次のように入力します。
sudo pkg search ossec
出力は次のようになります。
ossec-hids-client-2.8.1_1
ossec-hids-local-2.8.1_1
ossec-hids-server-2.8.1_1
目的はOSSECを使用して、インストールされているサーバー(ローカルインストール)のみを監視することであるため、インストールするバイナリパッケージは、ossec-hids-local-2.8.1_1
またはローカルパッケージのバージョンに関係なく使用できます。 サーバーバイナリが別のドロップレットにインストールされている場合、クライアントバイナリを使用すると、OSSECサーバーにレポートするOSSECエージェントをインストールできます。
ローカルバイナリをインストールするには、次のように入力します。
sudo pkg install ossec-hids-local-2.8.1_1
インストール出力ごとに、OSSECはchroot
を/usr/local/ossec-hids
に変換するため、その構成ファイルとディレクトリはそのディレクトリの下にあります。
OSSECをインストールしたので、起動時に起動できるようにOSSECを有効にする必要があります。 それを有効にします。 /etc/rc.conf
をもう一度開きます。
sudo nano /etc/rc.conf
次の行を追加します。
# For OSSEC HIDS
ossechids_enable="YES"
最後に、ファイルを保存して閉じます。
ステップ3-OSSEC通知の電子メールクレデンシャルを設定する
リポジトリからOSSECをインストールしたため、構成ファイルの電子メール設定はダミー設定です。 通知を受け取るには、実際の電子メールクレデンシャルを提供する必要があります。 これを修正するには、/usr/local/ossec-hids/etc
にあるossec.conf
ファイルを変更する必要があります。
ossec.conf
はOSSECにとって非常に重要な構成ファイルであるため、編集を開始する前に、バックアップコピーを作成してください。
sudo cp /usr/local/ossec-hids/etc/ossec.conf /usr/local/ossec-hids/etc/ossec.conf.00
次に、元のファイルを開きます。
sudo nano /usr/local/ossec-hids/etc/ossec.conf
変更が必要な最初の部分はファイルの最上部にあり、以下に示されています。 これらの設定は、OSSECにアラートの送信先と使用するSMTPサーバーを指示します。
<global>
<email_notification>yes</email_notification>
<email_to>daniel.cid@xxx.com</email_to>
<smtp_server>smtp.xxx.com.</smtp_server>
<email_from>ossecm@ossec.xxx.com.</email_from>
</global>
### Sendmail
FreeBSD 10.1はデフォルトでSendmailに同梱されており、OSSECの電子メール通知に使用する場合は、以下に示すようにsmtp_serverをlocalhostに設定する必要があります。
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>localhost</smtp_server>
<email_from>sammy@example.com</email_from>
</global>
注: Sendmailは、受信メールと送信メールの両方を処理できます。 Sendmailのインバウンドサービスが必要ない場合は、/etc/rc.conf
に以下の行を追加してください。
# For Sendmail
sendmail_enable="NO"
###サードパーティのSMTPサーバー
ただし、サードパーティのSMTPサーバーを指定し、Sendmailのローカルインスタンスを使用しない場合は、ossec.conf
の電子メール通知領域は次のようになります。
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>sammy@example.com</email_from>
</global>
必要なすべての電子メール設定を指定したら、ファイルを保存して閉じます。 OSSECがアラートを送信できることを確認するには、次のように入力して開始します。
sudo /usr/local/ossec-hids/bin/ossec-control start
すべてが順調である場合は、次の種類の構成済みアドレスに電子メールを受信する必要があります。
OSSEC HIDS Notification.
2015 Jan 23 23:08:32
Received From: liniverse->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
--END OF NOTIFICATION
メールが届かない場合は、迷惑メールフォルダを確認してください。
ステップ4-syscheckを構成する
ここからは、ossec.conf
で作業を続けます。 構成の編集は、ファイルに表示される順序で表示されます。
sudo nano /usr/local/ossec-hids/etc/ossec.conf
syscheck間隔を調整します
syscheck
はOSSECの整合性チェックプロセスであり、不正な変更の証拠がないかファイルシステムをスキャンしてチェックサムする頻度をsyscheckに指示できます。
syscheckセクションまで下にスクロールします。 最初の2行は次のようになります。
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>
この設定は、OSSECが17200秒ごとに1回システムチェックを実行するように指示します。 これは、実動システムにとって適切な周波数間隔です。 ただし、FreeBSDでのOSSECのバイナリインストールではリアルタイム通知はサポートされていないため、その値を900秒のように減らすことをお勧めします。 その後、OSSECをテストするときに、より短い時間枠で通知を受け取ることができます。 テスト後、デフォルトに戻すことができます。
監視するディレクトリを指定する
OSSECのデフォルトのインストールはLinux学習であるため、デフォルトの監視対象ファイルとディレクトリは、Linuxシステムで通常見られるものを反映しています。 したがって、FreeBSDのインストールに合わせて変更する必要があります。 これらのディレクトリは、変更した前の設定のすぐ下に一覧表示され、デフォルトは次のとおりです。
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
前述のように、これらの設定はLinuxサーバーには適していますが、FreeBSDサーバーには変更が必要です。 FreeBSD10.1サーバーの推奨設定は次のとおりです。
<!-- Directories to check (perform all possible verifications) -->
<directories report_changes="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" check_all="yes">/bin,/sbin</directories>
<directories report_changes="yes" check_all="yes">/usr/local/etc,/usr/local/bin,/usr/local/sbin</directories>
<directories report_changes="yes" check_all="yes">/home/freebsd,/usr/local/www</directories>
赤の2本の余分な線が追加されました。 最初の追加はFreeBSDサーバーに固有であり、2番目の追加はfreebsdのホームディレクトリを監視することをOSSECに通知します。 別のユーザー名で操作している場合は、それに合わせて/home/freebsd
を変更してください。
注: /usr/local/www
ディレクトリは、WebサーバーデータがFreeBSDに保存される場所です。 Webサイトをホストする場合、Webサイトのデータはすべてそのディレクトリにあります。 そのため、注意を払う必要のあるディレクトリになっています。
無視するファイルまたはディレクトリを指定する
ossec.conf
の次のセクションは、OSSECが無視する必要のあるファイルのリストです。これらのファイルは頻繁に変更される傾向があり、誤検知が多すぎるためです。 デフォルトのファイルリストを以下に示します。
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<ignore>/etc/hosts.deny</ignore>
<ignore>/etc/mail/statistics</ignore>
<ignore>/etc/random-seed</ignore>
<ignore>/etc/adjtime</ignore>
<ignore>/etc/httpd/logs</ignore>
この場合も、デフォルトのリストはLinuxシステムに固有のものです。 たとえば、FreeBSD 10.1は、デフォルトでmtab
ファイルまたはhosts.deny
ファイルを使用しません。
では、FreeBSD 10.1サーバーで無視するようにOSSECを設定する必要があるファイルはどれですか? ほとんどの場合、これはサーバーに何をインストールしたかによって異なるため、理解する必要があります。
たとえば、hosts.deny
ファイルはhosts.allow
ファイルとマージされています。 ですから、それはあなたが無視したいものかもしれません。 ただし、hosts.allow
ファイルを監視することで、接続の試行が拒否されたすべてのIPアドレスが保持されるため、サーバーに誰が石を投げているかを知ることができます。
Bashをインストールした場合は、.bash_profile
を無視することをお勧めしますが、そのファイルでアラートを送信すると、サーバーで実行されているコマンドを把握できます。 送信専用の電子メールサーバーであるsSMTPをインストールした場合、そのdead.letter
ファイルは無視できるもう1つのファイルです。 また、lsof
をインストールした後は、その.lsof_HOSTNAME
ファイルを無視できます。
一般的なポイントは次のとおりです。アプリケーションをインストールした後、/home
に隠しディレクトリが作成されているかどうかを確認します。 その隠しファイルは無視するのに良い候補かもしれません。 疑わしい場合は、無視するファイル/ディレクトリセクションを変更しないでください。 OSSECが送信するアラートに注意してください。 それらの内容から、OSSECが無視するように構成する必要のあるファイルがわかります。
このセクションをさらに支援するために、デフォルトのユーザーfreebsdを使用してこのチュートリアルで使用したテストサーバーでどのように表示されるかを示します。
<!-- Files/directories to ignore -->
<ignore>/home/freebsd/dead.letter</ignore>
<ignore>/home/freebsd/.bash_profile</ignore>
<ignore>/home/freebsd/.lsof_liniverse</ignore>
<ignore>/etc/dumpdates</ignore>
<ignore>/usr/local/ossec-hids/logs</ignore>
<ignore>/usr/local/ossec-hids/queue</ignore>
<ignore>/usr/local/ossec-hids/var</ignore>
<ignore>/usr/local/ossec-hids/tmp</ignore>
<ignore>/usr/local/ossec-hids/stats</ignore>
ご覧のとおり、そのリストはOSSECインストールツリーの下のいくつかのディレクトリを無視します。 これらのディレクトリを無視しないと、システムのディスク容量が非常に短時間で不足する可能性があります。
ステップ5-ルートチェックを構成する
ossec.conf
の次の停車地は、rootcheckセクションです。 ルートチェックは、システムをスキャンしてルートキットを探すOSSECのコンポーネントです。 デフォルトでは、次のようになります。
<rootcheck>
<rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>
FreeBSD 10.1上のOSSECは、/var/ossec
にはインストールされていませんが、/usr/local/ossec-hids
にインストールされているので、それを反映するようにこれらの行を変更してください。 その後、そのセクションは次のようになります。
<rootcheck>
<rootkit_files>/usr/local/ossec-hids/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/usr/local/ossec-hids/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>
ossec.conf
で変更する必要があるのはこれだけです-今のところ。 保存して閉じます。 後で戻ってきます。 すべてが正しく設定されていることを確認するには、OSSECを再起動してみてください。
sudo /usr/local/ossec-hids/bin/ossec-control restart
再起動は成功するはずです。 構成エラーが返された場合は、手順4と5のエントリを再確認してください。
ステップ6-監視するログファイルを指定する
OSSECのデフォルトのインストールは、Linuxシステムに固有の場所にあるログファイルを監視するように構成されています。 FreeBSD 10.1では、これらのファイルのいくつかは、同じ/var/log
ディレクトリにありますが、わずかに異なる名前を持っています。
OSSECのログファイル(/var/log/ossec-hids/logs/ossec.log
)を見ると、次のようなエントリが表示されます。
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/authlog'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/secure'
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/xferlog'
エラーを含むエントリ:ファイルを開くことができませんは、OSSECが存在しないか、権限が間違っているためにファイルを見つけることができなかったことを示します。 結論を出す前に、システムに当てはまるものを確認してください。
OSSECがFreeBSD10.1で監視する必要のあるログファイルの場所を特定する方法は次のとおりです。 lsof
を使用して、実行時にシステムが使用している開いているファイルを一覧表示します。 lsof
はデフォルトではインストールされないため、最初に次のようにインストールします。
sudo pkg install lsof
次に、ログファイルチェックを実行するには、次のコマンドを使用します。
lsof | grep log | grep -v ".so" | egrep -v "ossec|proc|dev|run"
そのコマンドが実行しているのは、開いているすべてのファイルを探し出し、関心のあるログファイルを保持し、残りを破棄することだけです。 OSSECのインストールディレクトリ、/proc
、/dev
、/var/run
のファイルを監視することは絶対に避けてください。 ログファイルのリストを含む出力が得られるはずです。 次のコードブロックは、このチュートリアルで使用されるテストシステムの出力の一部を示しています。
syslogd ... root ... /var/log/messages
syslogd ... root ... /var/log/security
syslogd ... root ... /var/log/auth.log
syslogd ... root ... /var/log/maillog
syslogd ... root ... /var/log/lpd-errs
その出力の名前をOSSECのログファイルの出力の名前と比較すると、/var/log/auth.log
は/var/log/authlog
と同じであり、/var/log/security
はFreeBSDの同等のものであることが簡単にわかります。 /var/log/secure
。
次に、ossec.conf
を再度開き、ログファイルの名前をFreeBSD10.1で使用されている名前と一致するように変更します。
sudo nano /usr/local/ossec-hids/etc/ossec.conf
以下のコードブロックは、変更された行がどうあるべきかの例を示しています。 サーバーにインストールして実行している特定のサービスのログの場所を追加する必要があります。 Nginx、Apacheなどのサービス。
<!-- Files to monitor (localfiles) -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/security</location>
</localfile>
util.shを使用したログファイルエントリの追加
OSSECをインストールしてからかなり経ってから、監視するカスタムディレクトリにログファイルがある場合は、OSSECのutil.sh
コマンドを使用して追加するか、nanoでossec.conf
を開いて追加できます。手動で。
たとえば、Nginxをインストールし、そのアクセスログファイルとエラーログファイルが/var/log/nginx
ディレクトリにある場合、次のようにutil.sh
を使用してossec.conf
に追加できます。
/usr/local/ossec-hids/bin/util.sh addfile /var/log/nginx/access.log
/usr/local/ossec-hids/bin/util.sh addfile /var/log/nginx/error.log
注:表示されたとおりにこれらの2つのコマンドを実行し、Nginxがインストールされていない場合、ログファイルが存在しないというエラーが表示されます。
この時点で、ossec.conf
に最後の変更を加える必要があるため、次の手順に進むときはファイルを開いたままにしておきます。
ステップ7-新しいファイルに関するアラート
デフォルトでは、OSSECはシステムに新しいファイルが作成されたときにアラートを出さないため、その動作を変更します。 この変更には2つの要素があります。
syscheckを設定する
ossec.conf
のsyscheck
領域osまでスクロールして戻り、頻度チェック間隔のすぐ下にalert_new_files行を追加します。
結果は次のようになります。
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>
<alert_new_files>yes</alert_new_files>
これで、ossec.conf
を保存して閉じることができます。 これで終了です。
ルールの分類レベルを変更する
syscheck
に新しく作成されたファイルを監視するように指示しましたが、OSSECは実際にはまだそれらについて通知しません。 そのためには、デフォルトのOSSECルールを変更する必要があります。
nano
でossec_rules.xml
を開きます。
sudo nano /usr/local/ossec-hids/rules/ossec_rules.xml
ファイルが監視対象ディレクトリに追加されたときに発生するルールは、ルール554です。 外観は次のとおりです。
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
ルールのレベルが0に設定されている場合、OSSECはアラートを送信しないため、そのルールをlocal_rules.xml
にコピーし、トリガーされるように変更する必要がありますアラート。 マウスまたはタッチパッドを使用して、nano
でルールを強調表示し、それをコピーして、ホストマシンのテキストエディターに一時的に貼り付けることができます。
ここでlocal_rules.xml
を開きます。これは、ユーザーが変更したすべてのOSSECルールを配置する場所です。 はossec_rules.xml
に変更を加えないでください。
sudo nano /usr/local/ossec-hids/rules/local_rules.xml
CONTROL+SHIFT+V
を使用して、ホストマシンのテキストエディタからnano
にルールを貼り付けます。 必ずgroupタグ内に貼り付けてください。 通知レベルを7
に変更し、このルールがossec_rules.xml
のルール554を上書きすることをOSSECに通知します。
完了すると、local_rules.xml
ファイルの終わりは次のようになります。 最初の行は、元のルールから変更されたすべてです。
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
</group> <!-- SYSLOG,LOCAL -->
<!-- EOF -->
すべて完了したら、ファイルを保存して閉じ、次のように入力してOSSECを再起動します。
sudo /usr/local/ossec-hids/bin/ossec-control restart
結論
OSSECを再起動するとすぐに、SMTPサーバーを構成するときの手順3で行ったように、OSSECが開始したことを示すアラートを受信するはずです。 さまざまなルールレベルとそれらが意味する重大度に精通することをお勧めします。 それらについては、OSSECドキュメントで読むことができます。
また、OSSECが次のシステムチェックを実行した後、新しいシステムから期待できる標準のアラートも受信するはずです。 サーバーで構成した直後に表示される(またはそのバリエーションが表示される)通知がいくつかあります。
初めてユーザーfreebsdがsudoコマンドを実行しました。
OSSEC HIDS Notification.
2015 Jan 24 07:10:56
Received From: liniverse->/var/log/auth.log
Rule: 5403 fired (level 4) -> "First time user executed sudo."
Portion of the log(s):
Jan 24 02:10:56 liniverse sudo: freebsd : TTY=pts/1 ; PWD=/usr/home/freebsd ; USER=root ; COMMAND=/usr/sbin/pkg install namp
--END OF NOTIFICATION
OSSECは、hosts.allowのIPアドレス93.50.186.75をブロックしました。
OSSEC HIDS Notification.
2015 Jan 25 02:06:47
Received From: Freebsd->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):
Integrity checksum changed for: '/etc/hosts.allow'
Size changed from '3408' to '3434'
What changed:
93a94
ALL : 93.50.186.75 : deny
Old md5sum was: 'f8ba903734ee1bd6afae641974a51522'
New md5sum is : '56dfbd3922cf7586b81b6575f6564196'
Old sha1sum was: 'a7a9886aa90f2f6aaa7660490809d6a0717b8d76'
New sha1sum is : '6a0bf14c4614976d2c2e1157f157ae513f3f9cfc'
--END OF NOTIFICATION
ファイルngx.txt
は/home/freebsd
で作成されました。
OSSEC HIDS Notification.
2015 Jan 24 20:08:38
Received From: liniverse->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/home/freebsd/ngx.txt' added to the file system.
--END OF NOTIFICATION
うまくいけば、これでOSSECが提供するものを味わうことができます。 先に述べたように、リアルタイムアラートとファイル削除に関するアラートはFreeBSDではまだサポートされていません。 ただし、これらに関連する機能のリクエストは、プロジェクトのGitHubページで行われました。 OSSECの詳細については、プロジェクトのWebサイトhttp://www.ossec.net/にアクセスしてください。