Невозможно проанализировать журналы ошибок MySQL в OSSEC
Я пытаюсь анализировать журналы ошибок MySQL, созданные моим агентом OSSEC, и генерировать предупреждения с помощью сервера OSSEC.
вот блок кода, добавленный в /var/ossec/etc/ossec.conf на стороне агента для чтения журналов ошибок MySQL от агента:
<localfile>
<log_format>mysql_log</log_format>
<location>/var/log/mysql/error.log</location>
</localfile>
После этого я перезапустил агент и сервер, но не смог проверить какие-либо журналы ошибок, которые генерируются на стороне агента, например:
2020-09-15T04:09:24.164859Z 12 [Note] Access denied for user 'root'@'localhost' (using password: YES)
Согласно документу https://ossec-docs.readthedocs.io/en/latest/docs/programs/ossec-logtest.html разделе " Предостережения" нам необходимо добавить журнал MySQL: в журнал, созданный для ossec-logtest.
Он будет добавлен автоматически, когда мы отправим эти журналы на сервер OSSEC для анализа агентом.
результат ossec-logtest для журнала ошибок MySQL
ossec-logtest работает нормально после добавления журнала MySQL: в начало, но они не работают в реальном времени.
Может ли кто-нибудь помочь мне с этой проблемой.
1 ответ
Тот факт, что ossec-logtest запускает предупреждение, означает, что декодер и правила mysql работают нормально
Проверить агента
MySql запущен.
systemctl status mysqld.serviceКонфигурация MySql (уровень журнала и выходной файл) позволяет регистрировать такие события. Смотрите здесь
Если значение больше 1, прерванные соединения записываются в журнал ошибок, а ошибки отказа в доступе для новых попыток подключения записываются.
- MySql эффективно регистрирует "Доступ запрещен":
grep "Access denied" /var/log/mysql/error.log - Ossec и их процессы работают нормально:
/var/ossec/bin/ossec-control status
Проверить у менеджера
log_alert_levelполе в /var/ossec/etc/ossec.conf меньше или равно 9 (уровень журнала показан в вашем ossec-logtest)