我正在尝试分析在我的OSSEC代理上生成的MySQL错误日志,并使用OSSEC服务器发出警报。
以下是添加到代理端/var/ossec/etc/ossec.conf中的代码块,用于从代理读取MySQL的错误日志:
<localfile>
<log_format>mysql_log</log_format>
<location>/var/log/mysql/error.log</location>
</localfile>
在这样做之后,我重新启动了代理和服务器,但无法测试在代理端生成的任何错误日志,如:
2020-09-15T04:09:24.164859Z 12 [Note] Access denied for user 'root'@'localhost' (using password: YES)
根据文件https://ossec-docs.readthedocs.io/en/latest/docs/programs/ossec-logtest.html在Caveats下,我们需要将MySQL日志:添加到为ossec logtest生成的日志中。
当我们将这些日志发送到OSSEC服务器以从代理进行分析时,这将自动添加。
MySQL错误日志的ossec日志测试结果
ossec-logtest在开始添加MySQL日志后运行良好,但它们不能实时运行。
有人能帮我解决这个问题吗。
ossec-logtest触发警报意味着mysql解码器和规则在中运行良好
检查代理
-
MySql正在运行。
systemctl status mysqld.service -
MySql配置(日志级别和输出文件(允许记录此类事件。参见此处
如果值大于1,则中止的连接将写入错误日志和新连接尝试的拒绝访问错误书面的
- MySql正在有效地记录"拒绝访问":
grep "Access denied" /var/log/mysql/error.log - Ossec及其流程运行正常:
/var/ossec/bin/ossec-control status
检查Manager
- /var/ossec/etc/ossec.conf中的
log_alert_level字段低于或等于9(日志级别显示在ossec日志测试中(