在何处放置OSSEC配置-监控crontab

Question

我正在评估(vanilla) OSSEC+ (不是Wazuh)。如果我正确理解了文档，所有特定于规则的配置都必须在服务器上完成，这听起来非常合理，因为我不想更改每个代理的配置，并且可能的攻击者不能操纵它。

然后，我希望服务器上的上述配置的更改以某种方式反映在代理上。但在我的情况下，似乎不会发生这种情况。

对于一个测试，我想实现一个crontab检查。因此，如果root用户的crontab发生更改，我希望获得有关该更改的通知。

根据文档，我在服务器上的/var/ossec/etc/ossec.conf中添加了以下内容：

<localfile>
    <log_format>full_command</log_format>
    <command>crontab -u root -l</command>
    <frequency>30</frequency>
</localfile>

将以下内容添加到/var/ossec/rules/local_rules.xml (在服务器上也是如此)

<rule id="500002" level="7">
    <if_sid>530</if_sid>
    <match>ossec: output: 'crontab</match>
    <check_diff />
    <description>Crontab for user has changed!.</description>
 </rule>

在那之后，我重新启动了服务器和代理。

现在，因为服务器也在监视自己，所以我可以验证此配置是否在原则上工作，因为如果我更改服务器上的crontab，我确实会收到所需的通知。

但这种情况不会发生在代理上。下面是我尝试添加的关于stackoverflow的其他问题/答案

logcollector.remote_commands=1

/var/ossec/etc/local_internal_options.conf (在座席上)

并多次重启代理。

当我查看/var/ossec/logs/ossec.log (代理)时，我可以看到代理正在做一些事情，并且我确实看到它正在执行一些其他命令，但不是我配置的命令。

我做错了什么？我是否必须将每个配置都添加到服务器和每个代理中，尽管文档告诉我情况并非如此？

PS。如果我将命令-configuration添加到代理上的/var/ossec/etc/ossec.conf中，它确实可以工作。

Answer 1

为了从管理器向代理提供配置，您必须使用Centralized agent configuration，您可以通过将配置添加到每个组的agent.conf来将配置附加到代理组。

除非另行指定，否则所有代理最初都是default组的一部分，因此您必须将其添加到管理器上的/var/ossec/etc/shared/default/agent.conf中，以便代理可以使用它。

向管理器的/var/ossec/etc/ossec.conf添加配置时，这只会影响管理器的操作。