He configurado 3 máquinas virtuales: servidor ossec y dos agentes en CentOS 6 y Windows 2k8 R2. He completado la configuración y FIM y Log Management funcionan sin problemas. También informa de los nuevos archivos. Sin embargo, no detecta (o prefiero decir informes) los archivos eliminados. He buscado en el grupo de Google y no encontré ninguna respuesta. He comprobado las reglas que están disponibles y la regla está incluida en los archivos de configuración.
La mayoría de las configuraciones están predeterminadas como instaladas inicialmente.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>300</frequency>
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<!-- Windows files to ignore -->
<ignore>C:\WINDOWS/System32/LogFiles</ignore>
<ignore>C:\WINDOWS/Debug</ignore>
</syscheck>
config se incluye con las reglas ossec_rule.xml donde la regla define como:
<rule id="553" level="7">
<category>ossec</category>
<decoded_as>syscheck_deleted</decoded_as>
<description>File deleted. Unable to retrieve checksum.</description>
<group>syscheck,</group>
</rule>
y esta regla se incluye en el archivo de configuración.