翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html
規則和解碼器的目錄路徑加載
允許将檔案的整個目錄作為解碼器、清單或規則加載到ossec-anaylistd中。
用例:
可以極大地簡化使用解碼器的工作,因為可以有盡可能多的檔案。此外,還将對規則和解碼器進行打包,使其成為一個簡單的非zip/untar和重新開機操作。這也将大大減少管理ossec更新腳本所需的代碼量。
詳細:
OSSEC文法
所有的目錄加載都是按字母順序完成的。這很像init。在檔案名稱中使用數字字首會影響加載順序。檔案名稱的示例和它們将被加載的順序:
1.00_sshd_rules.xml
2.01_local_sshd_rules.xml
3.99_shun_rules.xml
目錄加載
加載指定檔案夾下以_rules.xml為結尾的檔案
<ossec_config>
<rules>
<rule_dir pattern="_rules.xml">rules</rule_dir>
也可寫成
<ossec_config>
<rules>
<rule_dir>rules</rule_dir>
在ossec中指令的申明順序,重複的檔案将不會被加載。在下面的例子中,00_setup_rules.xml總是首先加載,并且不會重複加載。
<ossec_config>
<rules>
<include>rules/00_setup_rules.xml</include>
<rule_dir>rules</rule_dir>
複雜文法
- rules/
- 00_rules_config.xml
- 50_apache_rules.xml
- 50_arpwatch_rules.xml
- plugins/
- 50_wimax_rules.xml
- 50_wimax_decoders.xml
- etc/
- decoder.xml
- local_decoder.xml
這是一個将解碼器和規則分解成子目錄的例子。
<ossec_config>
<rules>
<decoder>etc/decoder.xml</decoder>
<decoder_dir>rules/plugins</decoder_dir>
<rule>rules/rules/00_rules_config.xml</rule>
<rule_dir pattern=".xml$">rules/</rule_dir>
<rule_dir>rules/plugins</rule_dir>
</rules>
</ossec_config>
![OSSEC Agent和Server無法連接配接的常用檢查流程[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)