В настоящее время я вижу только уведомление по электронной почте, которое можно отправить для предупреждений в OSSec. Есть ли способ сделать http-вызов в случае предупреждения?
Как отправить уведомление OSSec на URL-адрес HTTP
Ответы (2)
Я не смог найти прямого способа отправить уведомление ossec на URL-адрес веб-перехватчика. Но у меня это получилось с помощью logstash, который мы используем для разбора и индексации журналов. Я добавил вывод logstash со следующей конфигурацией:
output {
if [type] == "ossec_alert" {
http {
http_method => "post"
url => "https://mythhpwebhook.com?key=1234"
content_type => "application/json"
mapping => ["Subject", "OSSEC Alert: %{signature}", "Message", "%{message}"]
}
}
}
Не: сообщение и подпись являются переменными из фильтра, примененного к входу ossec.
person
GG.
schedule
22.07.2015
я обнаружил, что вы можете отправлять уведомления ossec с активными ответами: посмотрите на этот пример и этот ossec-tweeter.sh< /а>
person
BaZZiliO
schedule
11.09.2015
Обратите внимание, что ответы только по ссылкам не рекомендуются, ответы SO должны быть конечной точкой поиска. для решения (по сравнению с еще одной остановкой ссылок, которые со временем устаревают). Пожалуйста, рассмотрите возможность добавления здесь отдельного синопсиса, оставив ссылку в качестве справочной информации.
- person kleopatra; 12.09.2015
Спасибо за внимание! Я добавляю источники, например, http-вызова в случае предупреждения?
- person BaZZiliO; 13.09.2015
ну... решение пока только в ссылках, не так ли? Не могли бы вы добавить соответствующие части из них?
- person kleopatra; 13.09.2015
Нет, я не могу этого сделать. Из-за моего контракта я не могу публиковать какие-либо подробности. Но ссылки на другие ресурсы, как я думаю, я все же могу разместить.
- person BaZZiliO; 15.09.2015
