翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html
规则和解码器的目录路径加载
允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。
用例:
可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则和解码器进行打包,使其成为一个简单的非zip/untar和重启操作。这也将大大减少管理ossec升级脚本所需的代码量。
详细:
OSSEC语法
所有的目录加载都是按字母顺序完成的。这很像init。在文件名称中使用数字前缀会影响加载顺序。文件名称的示例和它们将被加载的顺序:
1.00_sshd_rules.xml
2.01_local_sshd_rules.xml
3.99_shun_rules.xml
目录加载
加载指定文件夹下以_rules.xml为结尾的文件
<ossec_config>
<rules>
<rule_dir pattern="_rules.xml">rules</rule_dir>
也可写成
<ossec_config>
<rules>
<rule_dir>rules</rule_dir>
在ossec中指令的申明顺序,重复的文件将不会被加载。在下面的例子中,00_setup_rules.xml总是首先加载,并且不会重复加载。
<ossec_config>
<rules>
<include>rules/00_setup_rules.xml</include>
<rule_dir>rules</rule_dir>
复杂语法
- rules/
- 00_rules_config.xml
- 50_apache_rules.xml
- 50_arpwatch_rules.xml
- plugins/
- 50_wimax_rules.xml
- 50_wimax_decoders.xml
- etc/
- decoder.xml
- local_decoder.xml
这是一个将解码器和规则分解成子目录的例子。
<ossec_config>
<rules>
<decoder>etc/decoder.xml</decoder>
<decoder_dir>rules/plugins</decoder_dir>
<rule>rules/rules/00_rules_config.xml</rule>
<rule_dir pattern=".xml$">rules/</rule_dir>
<rule_dir>rules/plugins</rule_dir>
</rules>
</ossec_config>
![OSSEC Agent和Server无法连接的常用检查流程[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)