序章

Note: As of July 1, 2022, DigitalOcean no longer supports FreeBSD Droplets through the Control Panel or API. However, you can still spin up FreeBSD Droplets using a custom image. Learn how to import a custom image to DigitalOcean by following our product documentation.

OSSEC は、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。

これは、サーバーにインストールできる最も重要なセキュリティアプリケーションの1つであり、クライアント/サーバーまたはエージェント/サーバーの方法で1台または数千台のマシンを監視するために使用できます。 適切に構成されている場合、OSSECは、構成された任意の数の電子メールアドレスへの電子メールアラートを介して、サーバーで何が起こっているかを確認できます。

This tutorial will show you how to install and configure OSSEC to monitor a server running FreeBSD 10.1. ユーザーアクセスと整合性チェックのためのOSSECのデフォルトのルールセットに加えて、ファイルが変更またはシステムに追加された場合にOSSECが電子メールで通知するように追加のルールを構成します。

OSSECが送信するアラートのタイプの例を次に示します。

OSSEC HIDS Notification.
2015 Jan 25 11:42:49

Received From: liniverse->syscheck
Rule: 551 fired (level 7) -> "Integrity checksum changed again (2nd time)."
Portion of the log(s):

Integrity checksum changed for: '/usr/local/etc/ssmtp/ssmtp.conf'
Size changed from '1367' to '1384'
What changed:
36c36,37
< UseTLS=YES
---

  #UseTLS=YES
  UseSTARTTLS=YES

Old md5sum was: '39f219a7db9987c3623d5a2f7511dfc1'
New md5sum is : '9971ecc1b0c744ee3f744255248e7c11'
Old sha1sum was: 'fc945ffc84b243cd36f8dd276f99c57f912f902b'
New sha1sum is : '1289fe0008a3d8bf74db8f73c09bf18db09572cc'

 --END OF NOTIFICATION

注: OSSECは現在、LinuxとWindowsでのみリアルタイムでアラートを出すことができます。 FreeBSDでのリアルタイムの警告はまだ進行中であり、そのため、ファイルの削除に関する警告はFreeBSDでは機能しません。

前提条件

OSSECは、アクティブな応答機能のために、システム上でアクティブなファイアウォールを必要とします。 サーバーがNTPを有効にするために必要な正確な時刻を維持することも重要です。 最後に、サーバーのタイムゾーンを設定する必要があります。デフォルトではUTCです。

したがって、このチュートリアルでは、次のものが必要になります。

  • A new server running FreeBSD 10.1.

  • ファイアウォールが有効で、NTPが有効で、タイムゾーンが構成されています。 これを行うには、新しいFreeBSD10.1サーバーの推奨手順の指示に従ってください。 余分なスワップスペースを設定するセクションは無視してください。

注: OSSECが機能するためにUDPファイアウォールのアクセス許可は必要ありませんが、サーバーで実行しているサービスによっては、UDPトラフィックを許可する必要がある場合があります。

NTPの有効化が終了したら、次のように入力して、NTPが実行されていることを確認できます。

sudo service ntpd onestatus

出力は以下のようになりますが、プロセスID(pid)が異なります。

ntpd is running as pid 581.

次のように入力して、タイムゾーンが正しく設定されていることを確認することもできます date. 選択したタイムゾーンが出力に表示されます。

オプション

これらの次の2つの変更はどちらも必要ありませんが、FreeBSDを初めて使用する人にとって、よりユーザーフレンドリーにするために一般的に提案されています。

  • Bashをインストールして有効にします。

tsch FreeBSD10.1のデフォルトのシェルです。 Bashを使用したい場合は、 FreeBSD10.1の開始方法のデフォルトシェルの変更の手順に従ってBashをインストールできます。 これにより、今後のすべてのログインセッションを含め、デフォルトのシェルが永続的にBashに設定されます。

  • インストール nano.

FreeBSDのデフォルトのターミナルエディタは Vi 強力ですが、新しいユーザーにとっては直感的ではない場合があります。 nano モードレスであるため、新規ユーザーの複雑さの一部が排除されます。 Vi.

選択したエディターを使用できますが、 nano このチュートリアル全体で使用されます。 ターミナルに入るとインストールできます:

sudo pkg install nano

ステップ1-システムを更新する

ログインして、利用可能なセキュリティとパッケージの更新をシステムに適用します。 まだログインしていない場合は、次のように入力してログインします。

ssh freebsd@111.111.111.111

上記のコマンドのIPアドレスをサーバーの実際のIPアドレスに置き換えます。 FreeBSDのデフォルトユーザーはfreebsdであり、 sudo 特権。 ログインしたら、次のように入力して、利用可能なセキュリティ更新プログラムを照会してインストールします。

sudo freebsd-update fetch install

それが完了したら、利用可能なパッケージアップデートをインストールします。

sudo pkg upgrade

これらのコマンドからカーネルの更新があった場合は、サーバーを再起動してから、再度ログインします。

ステップ2-OSSECをインストールして有効にする

FreeBSDでは、OSSECをインストールするために使用できる3つの方法があります。プロジェクトのウェブサイトから、portsツリーから最新のバイナリをダウンロードするか、FreeBSDリポジトリから作成済みのバイナリをインストールします。 最後の方法ははるかに簡単で、このチュートリアルで使用する方法です。 また、OSSECの更新も簡単になります。

FreeBSD 10.1で利用可能なOSSECバイナリパッケージを確認するには、次のように入力します。

sudo pkg search ossec

出力は次のようになります。

ossec-hids-client-2.8.1_1
ossec-hids-local-2.8.1_1
ossec-hids-server-2.8.1_1

目的はOSSECを使用して、インストールされているサーバー(ローカルインストール)のみを監視することであるため、インストールするバイナリパッケージは次のとおりです。 ossec-hids-local-2.8.1_1 またはローカルパッケージのバージョンが何であれ。 The client binary will allow you to install an OSSEC agent, which reports to an OSSEC server, if the server binary is installed on a different server.

ローカルバイナリをインストールするには、次のように入力します。

sudo pkg install ossec-hids-local-2.8.1_1

インストール出力ごとに、OSSECは chroot の中へ /usr/local/ossec-hids、そのため、その構成ファイルとディレクトリはそのディレクトリの下にあります。

OSSECをインストールしたので、起動時に起動できるようにOSSECを有効にする必要があります。 それを有効にします。 開いた /etc/rc.conf また。

sudo nano /etc/rc.conf

次の行を追加します。

# For OSSEC HIDS

ossechids_enable="YES"

最後に、ファイルを保存して閉じます。

ステップ3-OSSEC通知の電子メールクレデンシャルを設定する

リポジトリからOSSECをインストールしたため、構成ファイルの電子メール設定はダミー設定です。 通知を受け取るには、実際の電子メールクレデンシャルを提供する必要があります。 これを修正するには、を変更する必要があります ossec.conf にあるファイル /usr/local/ossec-hids/etc.

ossec.conf はOSSECにとって非常に重要な構成ファイルであるため、編集を開始する前に、バックアップコピーを作成してください。

sudo cp /usr/local/ossec-hids/etc/ossec.conf /usr/local/ossec-hids/etc/ossec.conf.00

次に、元のファイルを開きます。

sudo nano /usr/local/ossec-hids/etc/ossec.conf

変更が必要な最初の部分はファイルの最上部にあり、以下に示されています。 これらの設定は、OSSECにアラートの送信先と使用するSMTPサーバーを指示します。

<global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>smtp.xxx.com.</smtp_server>
    <email_from>[email protected].</email_from>
</global>

### Sendmail

FreeBSD 10.1はデフォルトでSendmailに同梱されており、OSSECの電子メール通知に使用する場合は、以下に示すようにsmtp_serverlocalhostに設定する必要があります。

<global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>localhost</smtp_server>
    <email_from>[email protected]</email_from>
</global>

注: Sendmailは、受信メールと送信メールの両方を処理できます。 Sendmailのインバウンドサービスが必要ない場合は、以下の行をに追加してください。 /etc/rc.conf.

# For Sendmail

sendmail_enable="NO"

###サードパーティのSMTPサーバー

ただし、サードパーティのSMTPサーバーを指定し、Sendmailのローカルインスタンスを使用しない場合は、 ossec.conf 次のようになります。

<global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>mail.example.com.</smtp_server>
    <email_from>[email protected]</email_from>
</global>

必要なすべての電子メール設定を指定したら、ファイルを保存して閉じます。 OSSECがアラートを送信できることを確認するには、次のように入力して開始します。

sudo /usr/local/ossec-hids/bin/ossec-control start

すべてが順調である場合は、次の種類の構成済みアドレスに電子メールを受信する必要があります。

OSSEC HIDS Notification.
2015 Jan 23 23:08:32

Received From: liniverse->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):

ossec: Ossec started.


 --END OF NOTIFICATION

メールが届かない場合は、迷惑メールフォルダを確認してください。

ステップ4-syscheckを構成する

ここから、 ossec.conf. 構成の編集は、ファイルに表示される順序で表示されます。

sudo nano /usr/local/ossec-hids/etc/ossec.conf

syscheck間隔を調整します

syscheck はOSSECの整合性チェックプロセスであり、不正な変更の証拠がないかファイルシステムをスキャンしてチェックサムする頻度をsyscheckに指示できます。

syscheckセクションまで下にスクロールします。 最初の2行は次のようになります。

<syscheck>
    <!-- Frequency that syscheck is executed -- default every 20 hours -->
    <frequency>17200</frequency>

この設定は、OSSECが17200秒ごとに1回システムチェックを実行するように指示します。 これは、実動システムにとって適切な周波数間隔です。 ただし、FreeBSDでのOSSECのバイナリインストールではリアルタイム通知はサポートされていないため、その値を900秒のように減らすことをお勧めします。 そうすれば、OSSECをテストするときに、より短い時間枠で通知を受け取ることができます。 テスト後、デフォルトに戻すことができます。

監視するディレクトリを指定する

OSSECのデフォルトのインストールはLinux学習であるため、デフォルトの監視対象ファイルとディレクトリは、Linuxシステムで通常見られるものを反映しています。 したがって、FreeBSDのインストールに合わせて変更する必要があります。 これらのディレクトリは、変更した前の設定のすぐ下に一覧表示され、デフォルトは次のとおりです。

<!-- Directories to check  (perform all possible verifications) -->
    <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
    <directories check_all="yes">/bin,/sbin</directories>

前述のように、これらの設定はLinuxサーバーには適していますが、FreeBSDサーバーには変更が必要です。 FreeBSD10.1サーバーの推奨設定は次のとおりです。

<!-- Directories to check  (perform all possible verifications) -->
    <directories report_changes="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
    <directories report_changes="yes" check_all="yes">/bin,/sbin</directories>
    <directories report_changes="yes" check_all="yes">/usr/local/etc,/usr/local/bin,/usr/local/sbin</directories>
    <directories report_changes="yes" check_all="yes">/home/freebsd,/usr/local/www</directories>

赤の2本の余分な線が追加されました。 最初の追加はFreeBSDサーバーに固有であり、2番目の追加はfreebsdのホームディレクトリを監視することをOSSECに通知します。 別のユーザー名で操作している場合は、変更してください /home/freebsd それに合わせて。

注: /usr/local/www ディレクトリは、WebサーバーのデータがFreeBSDに保存される場所です。 Webサイトをホストする場合、Webサイトのデータはすべてそのディレクトリにあります。 そのため、注意を払う必要のあるディレクトリになっています。

無視するファイルまたはディレクトリを指定する

の次のセクション ossec.conf は、OSSECが無視する必要のあるファイルのリストです。これらのファイルは頻繁に変更される傾向があり、誤検知が多すぎるためです。 デフォルトのファイルリストを以下に示します。

<!-- Files/directories to ignore -->
    <ignore>/etc/mtab</ignore>
    <ignore>/etc/hosts.deny</ignore>
    <ignore>/etc/mail/statistics</ignore>
    <ignore>/etc/random-seed</ignore>
    <ignore>/etc/adjtime</ignore>
    <ignore>/etc/httpd/logs</ignore>

この場合も、デフォルトのリストはLinuxシステムに固有のものです。 たとえば、FreeBSD10.1は mtab ファイルまたは hosts.deny デフォルトではファイル。

では、FreeBSD 10.1サーバーで無視するようにOSSECを設定する必要があるのはどのファイルですか? ほとんどの場合、これはサーバーに何をインストールしたかによって異なるため、理解する必要があります。

たとえば、 hosts.deny ファイルはとマージされました hosts.allow ファイル。 ですから、それはあなたが無視したいものかもしれません。 ただし、 hosts.allow ファイルは、接続の試行が拒否されたすべてのIPアドレスが保持される場所であるため、サーバーに誰が石を投げているかを通知し続けることができます。

Bashをインストールした場合、 .bash_profile は無視するのに適した候補ですが、そのファイルに関するアラートにより、サーバーで実行されているコマンドについての洞察が得られます。 送信専用の電子メールサーバーであるsSMTPをインストールした場合、 dead.letter ファイルは無視できる別のものです。 また、インストール後 lsof、 これは .lsof_HOSTNAME ファイルは無視できます。

一般的なポイントは次のとおりです。アプリケーションをインストールした後、アプリケーションが隠しディレクトリを作成したかどうかを確認します。 /home. その隠しファイルは無視するのに良い候補かもしれません。 疑わしい場合は、無視するファイル/ディレクトリセクションを変更しないでください。 OSSECが送信するアラートに注意してください。 それらの内容から、OSSECが無視するように構成する必要のあるファイルがわかります。

このセクションをさらに支援するために、デフォルトのユーザーfreebsdを使用してこのチュートリアルで使用したテストサーバーでどのように表示されるかを示します。

<!-- Files/directories to ignore -->
    <ignore>/home/freebsd/dead.letter</ignore>
    <ignore>/home/freebsd/.bash_profile</ignore>
    <ignore>/home/freebsd/.lsof_liniverse</ignore>
    <ignore>/etc/dumpdates</ignore>
    <ignore>/usr/local/ossec-hids/logs</ignore>
    <ignore>/usr/local/ossec-hids/queue</ignore>
    <ignore>/usr/local/ossec-hids/var</ignore>
    <ignore>/usr/local/ossec-hids/tmp</ignore>
    <ignore>/usr/local/ossec-hids/stats</ignore>

ご覧のとおり、そのリストはOSSECインストールツリーの下のいくつかのディレクトリを無視します。 これらのディレクトリを無視しないと、システムのディスク領域が非常に短時間で不足する可能性があります。

ステップ5-ルートチェックを構成する

次の停車駅 ossec.conf rootcheckセクションです。 ルートチェックは、システムをスキャンしてルートキットを探すOSSECのコンポーネントです。 デフォルトでは、次のようになります。

<rootcheck>
    <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
    <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>

FreeBSD10.1上のOSSECはにインストールされていません /var/ossec、しかしで /usr/local/ossec-hids したがって、それらの行を変更してそれを反映させます。 その後、そのセクションは次のようになります。

<rootcheck>
    <rootkit_files>/usr/local/ossec-hids/etc/shared/rootkit_files.txt</rootkit_files>
    <rootkit_trojans>/usr/local/ossec-hids/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>

変更する必要があるのはそれだけです ossec.conf – 今のところ。 保存して閉じます。 後で戻ってきます。 すべてが正しく設定されていることを確認するには、OSSECを再起動してみてください。

sudo /usr/local/ossec-hids/bin/ossec-control restart

再起動は成功するはずです。 構成エラーが返された場合は、手順4と5のエントリを再確認してください。

ステップ6-監視するログファイルを指定する

OSSECのデフォルトのインストールは、Linuxシステムに固有の場所にあるログファイルを監視するように構成されています。 FreeBSD 10.1では、これらのファイルのいくつかは、同じ場所にありますが、名前が少し異なります。 /var/log ディレクトリ。

OSSECのログファイルを見ると(/var/log/ossec-hids/logs/ossec.log)、次のようなエントリが表示されます。

ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/authlog'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/secure'
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/xferlog'

エラーを含むエントリ:ファイルを開くことができませんは、OSSECが存在しないか、権限が間違っているためにファイルを見つけることができなかったことを示します。 結論を出す前に、システムに当てはまるものを確認してください。

OSSECがFreeBSD10.1で監視する必要のあるログファイルの場所をどのように判断できるかを次に示します。 使用します lsof システムが実行時に使用している開いているファイルを一覧表示します。 lsof デフォルトではインストールされないため、最初にインストールします。

sudo pkg install lsof

次に、ログファイルチェックを実行するには、次のコマンドを使用します。

lsof | grep log | grep -v ".so" | egrep -v "ossec|proc|dev|run"

そのコマンドが実行しているのは、開いているすべてのファイルを探し出し、関心のあるログファイルを保持し、残りを破棄することだけです。 OSSECのインストールディレクトリや /proc, /dev また /var/run. ログファイルのリストを含む出力が得られるはずです。 次のコードブロックは、このチュートリアルで使用されるテストシステムの出力の一部を示しています。

syslogd  ...  root  ...  /var/log/messages
syslogd  ...  root  ...  /var/log/security
syslogd  ...  root  ...  /var/log/auth.log
syslogd  ...  root  ...  /var/log/maillog
syslogd  ...  root  ...  /var/log/lpd-errs

その出力の名前をOSSECのログファイルの出力の名前と比較すると、それを簡単に確認できます。 /var/log/auth.log と同じです /var/log/authlog/var/log/security FreeBSDの同等物です /var/log/secure.

開催中 ossec.conf もう一度、ログファイルの名前を変更して、FreeBSD10.1で使用されている名前と一致させます。

sudo nano /usr/local/ossec-hids/etc/ossec.conf

以下のコードブロックは、変更された行がどうあるべきかの例を示しています。 サーバーにインストールして実行している特定のサービスのログの場所を追加する必要があります。 Nginx、Apacheなどのサービス。

<!-- Files to monitor (localfiles) -->

<localfile>

  <log_format>syslog</log_format>
    <location>/var/log/auth.log</location>
  </localfile>

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/security</location>
  </localfile>

util.shを使用したログファイルエントリの追加

OSSECをインストールしてからかなり経ってから、監視するカスタムディレクトリにログファイルがある場合は、OSSECを使用できます。 util.sh 追加または開くコマンド ossec.conf nanoを使用して、手動で追加します。

たとえば、Nginxをインストールし、そのアクセスログファイルとエラーログファイルが /var/log/nginx ディレクトリ、あなたはそれらを追加することができます ossec.conf を使用して util.sh そのようです:

/usr/local/ossec-hids/bin/util.sh addfile /var/log/nginx/access.log
/usr/local/ossec-hids/bin/util.sh addfile /var/log/nginx/error.log

注:表示されたとおりにこれら2つのコマンドを実行し、Nginxがインストールされていない場合、ログファイルが存在しないというエラーが表示されます。

この時点で、最後に1つ変更を加える必要があります ossec.conf、次の手順に進むときは、ファイルを開いたままにしておきます。

ステップ7-新しいファイルに関するアラート

デフォルトでは、OSSECはシステムに新しいファイルが作成されたときにアラートを出さないため、その動作を変更します。 この変更には2つの要素があります。

syscheckを設定する

上にスクロールして syscheck のエリアOS ossec.conf 頻度チェック間隔のすぐ下にalert_new_files行を追加します。

結果は次のようになります。

<syscheck>
    <!-- Frequency that syscheck is executed -- default every 20 hours -->
    <frequency>17200</frequency>

    <alert_new_files>yes</alert_new_files>

これで、保存して閉じることができます ossec.conf. これで終了です。

ルールの分類レベルを変更する

言ったけど syscheck 新しく作成されたファイルを監視するために、OSSECは実際にはまだそれらについて通知しません。 そのためには、デフォルトのOSSECルールを変更する必要があります。

開ける ossec_rules.xmlnano.

sudo nano /usr/local/ossec-hids/rules/ossec_rules.xml

ファイルが監視対象ディレクトリに追加されたときに発生するルールは、ルール554です。 外観は次のとおりです。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ルールのlevel0に設定されている場合、OSSECはアラートを送信しないため、そのルールをにコピーする必要があります。 local_rules.xml アラートをトリガーするように変更します。 マウスまたはタッチパッドを使用して、ルールを強調表示できます。 nano、コピーして、ホストマシンのテキストエディタに一時的に貼り付けます。

開催中 local_rules.xml これは、ユーザーが変更したすべてのOSSECルールが進むべき場所です。 に変更を加えないでください ossec_rules.xml.

sudo nano /usr/local/ossec-hids/rules/local_rules.xml

使用する CONTROL+SHIFT+V ホストマシンのテキストエディタからルールをに貼り付ける nano. 必ずgroupタグ内に貼り付けてください。 通知レベルを次のように変更します 7 そして、このルールがルール554を上書きすることをOSSECに伝えます。 ossec_rules.xml.

完了したら、あなたの終わり local_rules.xml ファイルは次のようになります。 最初の行は、元のルールから変更されたすべてです。

<rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
</rule>


</group> <!-- SYSLOG,LOCAL -->


<!-- EOF -->

すべて完了したら、ファイルを保存して閉じ、次のように入力してOSSECを再起動します。

sudo /usr/local/ossec-hids/bin/ossec-control restart

結論

OSSECを再起動するとすぐに、SMTPサーバーを構成するときの手順3で行ったように、OSSECが開始したことを示すアラートを受信するはずです。 さまざまなルールレベルとそれらが意味する重大度に精通することをお勧めします。 それらについては、OSSECドキュメントで読むことができます。

また、OSSECが次のシステムチェックを実行した後、新しいシステムから期待できる標準のアラートも受信するはずです。 サーバーで構成した直後に表示される(またはそのバリエーションが表示される)通知がいくつかあります。

初めてユーザーfreebsdがsudoコマンドを実行しました。

OSSEC HIDS Notification.
2015 Jan 24 07:10:56

Received From: liniverse->/var/log/auth.log
Rule: 5403 fired (level 4) -> "First time user executed sudo."
Portion of the log(s):

Jan 24 02:10:56 liniverse sudo:  freebsd : TTY=pts/1 ; PWD=/usr/home/freebsd ; USER=root ; COMMAND=/usr/sbin/pkg install namp

 --END OF NOTIFICATION

OSSECは、hosts.allowのIPアドレス93.50.186.75をブロックしました。

OSSEC HIDS Notification.
2015 Jan 25 02:06:47

Received From: Freebsd->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):

Integrity checksum changed for: '/etc/hosts.allow'
Size changed from '3408' to '3434'
What changed:
93a94

    ALL : 93.50.186.75 : deny

Old md5sum was: 'f8ba903734ee1bd6afae641974a51522'
New md5sum is : '56dfbd3922cf7586b81b6575f6564196'
Old sha1sum was: 'a7a9886aa90f2f6aaa7660490809d6a0717b8d76'
New sha1sum is : '6a0bf14c4614976d2c2e1157f157ae513f3f9cfc'

 --END OF NOTIFICATION

ファイル ngx.txt で作成されました /home/freebsd.

OSSEC HIDS Notification.
2015 Jan 24 20:08:38

Received From: liniverse->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):

New file '/home/freebsd/ngx.txt' added to the file system.


 --END OF NOTIFICATION

うまくいけば、これでOSSECが提供するものを味わうことができます。 先に述べたように、リアルタイムアラートとファイル削除に関するアラートはFreeBSDではまだサポートされていません。 ただし、これらに関連する機能のリクエストは、プロジェクトのGitHubページで行われました。 OSSECの詳細については、プロジェクトのWebサイトhttp://www.ossec.net/にアクセスしてください。