ossec 可以對文件進行檢查，包括文件是否修改，修改的內容(正常手段，有時候)，文件屬性等等。

關于文件的監控，在OSSEC.CONF文件中

<ossec_config>

<syscheck>

。。。。文件監控內容

</syscheck>

</ossec_config>

先給出一份簡單的配置選項

<syscheck>

<!-- Frequency that syscheck is executed - default to every 22 hours -->

<frequency>79200</frequency>

<!-- Directories to check (perform all possible verifications) -->

<alert_new_files>yes</alert_new_files>

<directories check_all="yes" realtime="yes" report_changes="yes">/103</directories>

<!-- Files/directories to ignore -->

<ignore>/etc/mtab</ignore>

<!-- Windows files to ignore -->

<ignore>C:\WINDOWS/System32/LogFiles</ignore>

</syscheck>

介紹一下

<frequency> 掃描頻率 每隔多長時間進行掃描

<alert_new_files> 是否報告新文件 默認是no 的，而且，這里即使設置yes 由于OSSEC文件創建的默認RULE 告警級別是0 所以也不會顯示，所以如果要顯示新文件告警，還需要修改RULE 規則，或者新創建一個規則，覆蓋掉原有規則。 見附一

<directories check_all="yes" realtime="yes" report_changes="yes">

這里是監控的目錄ossec 會對目錄和文件進行監控，但如果使用了realtime 進行監控，則這里必須是目錄。

check_all ：檢測所有選項 包括文件的MD5，SH1 文件大小，宿主等等。

report_changes : 報告文件改變。

<ignore>：忽略文件

還有一個auto_ignore: 使用方式 <auto_ignore>yes|or</auto_ignore> 為了防止文件被頻繁改變而產生報警，如果是yes則默認3次之后不會產生告警，為no則改變就發生報警。 目前貌似只能全局生效，不能針對單個文件或者目錄。

配置完成后，重啟OSSEC 即可。 #service ossec restart

附一 新建文件告警：

在ossec 安裝目錄的 rules 下 （/var/ossec/rules) 新建一個規則.xml（需要在ossec.conf 里包含）或者直接編輯local_rules.xml，增加

<rule id="554" level="10" overwrite="yes">

<category>ossec</category>

<decoded_as>syscheck_new_entry</decoded_as>

<description>File added to the system.</description>

<group>syscheck,</group>

</rule>

附二 參考：http://www.ossec.net/doc/manual/syscheck/index.html