Colegas, en un servidor Debian Squeeze tengo instalado OSSEC y Cactis,
hasta ahora todo bien excepto por lo siguiente:
en el archivo /etc/cron.d/cacti tengo lo siguiente:
MAILTO=root
*/5 * * * * www-data php /usr/share/cacti/site/poller.php >/dev/null
2>/var/log/cacti/poller-error.log
cada 5 minutos esto se ejecuta y se registra en el archivo
/var/log/syslog una línea así:
May 28 06:45:01 amitrex /USR/SBIN/CRON[7449]: (www-data) CMD (php
/usr/share/cacti/site/poller.php >/dev/null
2>/var/log/cacti/poller-error.log)
entonces como OSSEC está monitoreando el archivo /var/log/syslog me
envía un correo con el siguiente texto:
OSSEC HIDS Notification.
2013 May 28 12:00:02
Received From: amitrex->/var/log/syslog/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
May 28 12:00:01 amitrex /USR/SBIN/CRON[3568]: (www-data) CMD (php
/usr/share/cacti/site/poller.php >/dev/null
2>/var/log/cacti/poller-error.log)
--END OF NOTIFICATION
ya que en el archivo /var/ossec/rules/syslog_rules.xml
está lo siguiente:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal
|denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
entonces de que forma podría modificar la variable BAD_WORDS para que me
contemple las líneas que tienen la palabra error obviando las que tengan
(www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null
2>/var/log/cacti/poller-error.log
gracias.
--
Damián Tomey Soto
Administrador Red EQRO
Tel: (32) 413011 Ext. 1488
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
