OSSEC 的另一個(gè)吸引人的地方，就是active-response，可以針對(duì)規(guī)則進(jìn)行自動(dòng)處理。不過最好慎用這個(gè)功能，否則，干掉了不該干掉的東西，那后果非常嚴(yán)重，所以，用這個(gè)東西，自動(dòng)進(jìn)行報(bào)警，還是不錯(cuò)的選擇。

這里還是先給出一個(gè)標(biāo)準(zhǔn)配置，進(jìn)行說明：

<command>

<name>test</name> //這個(gè)command 的名字，active-response 之后調(diào)用的

<executable>test.sh</executable> //腳本的名字，需要把這個(gè)腳本放到 /var/ossec/active-response/bin下 而且需要有執(zhí)行權(quán)限，屬于ossec 這個(gè)組 -r-xr-x— 1 root ossec 445 11-09 16:15 test.sh

<timeout_allowed>no</timeout_allowed> //超時(shí)設(shè)置 比如多長時(shí)間失效等等

<expect></expect> //例外，一般不設(shè)置

</command>

<active-response> //這兒需要放到 <command> 下面，否則 就會(huì)出現(xiàn)找不到command

<command>test</command> // 響應(yīng)的command 的名字，就是上面定義的那個(gè)

<location>server</location> //響應(yīng)的位置，server 就是服務(wù)器響應(yīng)，比如執(zhí)行一個(gè)腳本，agent 就是客戶端響應(yīng)

<level>1</level> //響應(yīng)的級(jí)別。 就是1 級(jí)以上就響應(yīng)

</active-response>

最后，再來看腳本文件，這個(gè)腳本就是添加一個(gè)用戶。

文件名 ：test.sh

useradd lion

ACTION=$1

USER=$2

IP=$3

LOCAL=`dirname $0`;

cd $LOCAL

cd ../

PWD=`pwd`

# Logging the call

echo “`date` $0 $1 $2 $3 $4 $5″ >> ${PWD}/../logs/active-responses.log

參考http://www.ossec.net/doc/manual/ar/index.html