Zuerst stellen Sie sicher, Ihre ossec-slack.sh
Datei die richtigen Informationen in der Spitze hat:
# FILE: /var/ossec/active-response/bin/ossec-slack.sh
SLACKUSER="ossec"
CHANNEL="#slack_chanel" # include the hash "#"
SITE="https://hooks.slack.com/services/TOKEN"
SOURCE="ossec2slack"
Ihre "SLACKUSER"
ist das gleiche wie das „Anpassen Name“, die Sie in Ihrem Slack Set Webhook Seite Integrationen.
Nun, da Ihr ossec-slack.sh
Datei eingerichtet ist, Sie Ihre Slack Integration manuell testen können:
/var/ossec/active-response/bin/ossec-slack.sh
Ausführen des Skripts manuell letzten Einträge aus der Benachrichtigung Protokolldatei schreiben wird:
/var/ossec/logs/alerts/alerts.log
Wenn dieses Skript als aktive Antwort ausgelöst wird, werden nur die Informationen für die aktuelle Warnung, ra, veröffentlicht als das Posten von Ihrer Protokolldatei.
Wenn Sie überprüft haben, dass Sie manuell Slack Nachrichten veröffentlichen können, fügen Sie die folgenden XML-Blöcke zu Ihrem ossec.conf
Datei:
<!-- FILE: /var/ossec/etc/ossec.conf -->
<ossec_config>
<command>
<name>ossec-slack</name>
<executable>ossec-slack.sh</executable>
<expect></expect> <!-- no expect args required -->
<timeout_allowed>no</timeout_allowed>
</command>
<active-response>
<command>ossec-slack</command>
<location>local</location>
<level>3</level>
</active-response>
</ossec_config>
Die obigen Einstellungen werden Ihrem Slack Kanal veröffentlichen, wenn eine Stufe 3 oder höher Alarm ist Ausgelöst.
Hinweis: Innerhalb des Tags <expect>
sind keine Argumente erforderlich. Aber das <expect>
Tag selbst ist erforderlich. Weitere Informationen finden Sie in OSSECs active-response documentation.
diese Integration testen, starten Sie Ihren OSSEC Server:
/var/ossec/bin/ossec-control restart
Sie sollten sehr schnell die "OSSEC Started"
Alarm sehen:
Wenn Sie die Warnung nicht angezeigt wird, überprüfen Sie die Protokolle für irgendwelche Fehlkonfigurationen:
tail /var/ossec/etc/logs/ossec.log
tail /var/ossec/logs/active-responses.log
Etwas zu awa Wenn Sie dies in einer Standardumgebung mit einem Master und mehreren Agenten ausführen, müssen Sie den Speicherort in active-response to server ändern oder der Befehl active-response wird auf dem Agenten ausgeführt, der die Warnung auslöst . –