Невозможно проанализировать журналы ошибок MySQL в OSSEC

Я пытаюсь анализировать журналы ошибок MySQL, которые генерируются моим агентом OSSEC, и выдавать предупреждения с использованием сервера OSSEC.

вот блок кода, добавленный в /var/ossec/etc/ossec.conf на стороне агента для чтения журналов ошибок MySQL от агента:

  <localfile>
    <log_format>mysql_log</log_format>
    <location>/var/log/mysql/error.log</location>
  </localfile>

После этого я перезапустил агент и сервер, но не смог проверить какие-либо журналы ошибок, которые генерируются на стороне агента, например:

2020-09-15T04:09:24.164859Z 12 [Note] Access denied for user 'root'@'localhost' (using password: YES)

Согласно документу https://ossec-docs.readthedocs.io/en/latest/docs/programs/ossec-logtest.html в разделе Предостережения нам нужно добавить журнал MySQL: в журнал, сгенерированный для ossec-logtest.

Это будет добавлено автоматически, когда мы отправим эти журналы на сервер OSSEC для анализа от агента.

результат ossec-logtest для журнала ошибок MySQL

ossec-logtest работает нормально после добавления журнала MySQL: в начало, но они не работают в реальном времени.

Может ли кто-нибудь помочь мне с этой проблемой.


mysql error-log wazuh ossec
person rana bhagath chand    schedule 15.09.2020    source источник
comment
Я думаю, вам может потребоваться предоставить пароль root   -  person Ericgit    schedule 15.09.2020
comment
@Code проблема не в пароле mysql. Проблема связана с ossec, который не может анализировать журналы MySQL, созданные на агенте ossec.   -  person rana bhagath chand    schedule 15.09.2020
comment
Я думаю, что это может помочь stackoverflow. ком/вопросы/2995054/   -  person Ericgit    schedule 15.09.2020

Ответы (1)


arrow_upward
0
arrow_downward

Тот факт, что ossec-logtest вызывает предупреждение, означает, что декодер и правила mysql работают нормально.

Проверить агента

  • MySQL работает. systemctl status mysqld.service

  • Конфигурация MySql (уровень журнала и выходной файл) позволяет регистрировать события такого рода. См. здесь

Если значение больше 1, прерванные подключения записываются в журнал ошибок, а также записываются ошибки отказа в доступе для новых попыток подключения.

  • MySql эффективно регистрирует «Доступ запрещен»: grep "Access denied" /var/log/mysql/error.log
  • Ossec и их процессы работают нормально: /var/ossec/bin/ossec-control status

Проверить у менеджера

  • Поле log_alert_level в /var/ossec/etc/ossec.conf меньше или равно 9 (уровень журнала показан в вашем ossec-logtest)
person Juan Nicolas Asselle    schedule 15.09.2020
comment
Привет, Хуан, я понял твою точку зрения, но основная проблема заключается в том, что журналы не достигают серверной части при использовании формата mysql_log в файле ossec.conf. Поэтому он не может анализировать в реальном времени. У вас есть какие-нибудь идеи по этому поводу? - person rana bhagath chand; 15.09.2020
comment
Это долгий путь от создания журналов до просмотра предупреждения в диспетчере, где каждый шаг может быть фильтром, блокирующим поток данных. Какое поведение указывает на проблему на стороне сервера? Я предлагаю вам начать анализ проблемы, начиная с агента. - person Juan Nicolas Asselle; 15.09.2020