翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/testing.html
測試OSSEC規則/解碼器
大多數人在解決OSSEC或嘗試編寫新規則和解碼時的第一個問題是如何測試它們。在過去,這需要手動重新啟動OSSEC,或者建立一個測試安裝。在版本1.6中,有一個工具可以簡化這個任務(ossec-logtest)。
使用ossec-logtest測試
工具ossec-logtest安裝在/var/ossec/bin中。它将讀取目前規則和解碼器(來自/var/ossec)并接受stdin的日志輸入:
在上面的示例中,我們提供了一個身份驗證成功日志,而ossec-logtest向我們展示了如何解碼、提取哪些資訊以及哪些規則被觸發。在下一個示例中,我們可以看到它如何從Windows中提取使用者下線消息:
除了上面的資訊之外,還可以使用ossec-logtest-f來跟蹤日志的規則路徑:
![OSSEC Agent和Server無法連接配接的常用檢查流程[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)