まず、あなたのossec-slack.shファイルがトップに正しい情報を持っていることを確認してください:
# FILE: /var/ossec/active-response/bin/ossec-slack.sh
SLACKUSER="ossec"
CHANNEL="#slack_chanel" # include the hash "#"
SITE="https://hooks.slack.com/services/TOKEN"
SOURCE="ossec2slack"
あなた"SLACKUSER"はあなたのスラックウェブフックインテグレーション]ページで設定した「カスタマイズ名」フィールドと同じです。
今、あなたのossec-slack.shファイルが設定されていることを手動であなたのスラック統合をテストすることができます
/var/ossec/logs/alerts/alerts.log
:
/var/ossec/active-response/bin/ossec-slack.sh
手動でスクリプトを実行すると、アラートの最近のエントリを掲載する予定はログファイル
このスクリプトがアクティブな応答としてトリガされると、現在のアラートの情報、つまりraあなたのログファイルからの投稿より。あなたが手動でスラックメッセージを投稿できることを確認した
、あなたのossec.confファイルに次のXMLブロックを追加:レベル3またはアラートの上にはいつでも上記の設定は、あなたのスラックチャンネルに掲載します
<!-- FILE: /var/ossec/etc/ossec.conf -->
<ossec_config>
<command>
<name>ossec-slack</name>
<executable>ossec-slack.sh</executable>
<expect></expect> <!-- no expect args required -->
<timeout_allowed>no</timeout_allowed>
</command>
<active-response>
<command>ossec-slack</command>
<location>local</location>
<level>3</level>
</active-response>
</ossec_config>
トリガーされた。
注:<expect>タグ内に引数は必要ありません。しかし、<expect>タグ自体が必要です。詳細については、OSSECのactive-response documentationを参照してください。
/var/ossec/bin/ossec-control restart
あなたは非常に迅速に"OSSEC Started"アラートが表示されるはずです:
アラートが表示されない場合は、ログを確認し、この統合をテストあなたのOSSECサーバを再起動するには
すべての設定ミスについて:
tail /var/ossec/etc/logs/ossec.log
tail /var/ossec/logs/active-responses.log
あなたがマスタと複数のエージェントを持つより標準的な環境でこれを実行している場合、アクティブな応答の場所をサーバに変更する必要があります。そうしないと、アラートを生成するエージェントでactive-responseコマンドが実行されます。 –