Estoy comenzando con OSSEC para verificar la integridad de los archivos en un grupo de servidores Windows y CentOS. Y me gustaría mantener una configuración centralizada de lo que se debe comprobar para todos mis agentes, en función de su sistema operativo.
Al investigar sobre la configuración del agente centralizado, descubrí que puedo crear un /var/ossec/etc/shared/agent.conf que difunde mi voluntad a todos mis agentes, pero me cuesta entender cómo usarlo.
Según el ejemplo de la documentación OSSEC, quiero hacer algo como esto:
<agent_config os="Linux">
<localfile>
<location>/var/log/my.log2</location>
<log_format>syslog</log_format>
<syscheck>
<frequency>7200</frequency>
<auto_ignore>no</auto_ignore>
<alert_new_files>yes</alert_new_files>
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
</syscheck>
</localfile>
</agent_config>
<agent_config os="Windows">
<localfile>
<location>C:\myapp\my.log</location>
<log_format>syslog</log_format>
<syscheck>
<frequency>7200</frequency>
<auto_ignore>no</auto_ignore>
<alert_new_files>yes</alert_new_files>
<directories check_all="yes">ProgramFiles</directories>
<directories check_all="yes">ProgramFiles(x86)</directories>
<directories check_all="yes">System32 </directories>
<directories check_all="yes">SysWOW64</directories>
</syscheck>
</localfile>
</agent_config>