Сначала убедитесь, что ваш ossec-slack.sh файл имеет правильную информацию в верхней части:
# FILE: /var/ossec/active-response/bin/ossec-slack.sh
SLACKUSER="ossec"
CHANNEL="#slack_chanel" # include the hash "#"
SITE="https://hooks.slack.com/services/TOKEN"
SOURCE="ossec2slack"
Ваше "SLACKUSER" совпадает с полем «Настроить имя», которое вы установили на странице интеграции Slack WebHook.
Теперь, когда ваш файл ossec-slack.sh настроен, вы можете вручную протестировать интеграцию со Slack:
/var/ossec/active-response/bin/ossec-slack.sh
Запуск скрипта вручную опубликует последние записи из вашего файла журнала предупреждений:
/var/ossec/logs/alerts/alerts.log
Когда этот сценарий запускается как активный ответ, он публикует информацию только для текущего предупреждения, а не из вашего файла журнала.
Убедившись, что вы можете публиковать сообщения Slack вручную, добавьте следующие блоки XML в файл ossec.conf:
<!-- FILE: /var/ossec/etc/ossec.conf -->
<ossec_config>
<command>
<name>ossec-slack</name>
<executable>ossec-slack.sh</executable>
<expect></expect> <!-- no expect args required -->
<timeout_allowed>no</timeout_allowed>
</command>
<active-response>
<command>ossec-slack</command>
<location>local</location>
<level>3</level>
</active-response>
</ossec_config>
Приведенные выше настройки будут публиковаться в вашем канале Slack всякий раз, когда срабатывает оповещение уровня 3 или выше.
Примечание. в теге <expect> не требуется никаких аргументов. Но сам тег <expect> обязателен. Дополнительные сведения см. в активном ответе документации OSSEC. .
Чтобы протестировать эту интеграцию, перезапустите сервер ossec:
/var/ossec/bin/ossec-control restart
Вы должны увидеть предупреждение "OSSEC Started" очень быстро:
Если вы не видите предупреждение, проверьте свои журналы на наличие неправильных конфигураций:
tail /var/ossec/etc/logs/ossec.log
tail /var/ossec/logs/active-responses.log
person
f1lt3r
schedule
20.09.2016
