> chào vanhien771354 > mình tìm trong rule của ossec ko thay cai nào có tên là install_msi mình > phải tạo mới hay là thế nào bạn >
Khi mình tạo 1 Rule phải để nó trong 1 group nào đó.Khi alert nó sẽ ghi ** Alert 1372002658.41135: mail - Install_MSI -->tên group trong Rule. > > trong OSSEC có 1 rule msauth_rules.xml phát hiện phần mềm install. http://www.ossec.net/doc/rules/rules/50_msauth_rules.xml.html?highlight=msauth#rules/50_msauth_rules.xml <rule id="18147" level="5"> <if_sid>18101</if_sid> <id>^11707</id> <options>alert_by_email</options> <description>Application Installed.</description> </rule> Giờ kiếm 1 phần mềm đuôi .msi cài vào.Trên Agent Windows mở Eventviewer --->Windows Log-->Application ghi lại. Ps: Sử dụng tiếng anh chứ hỏi vậy mọi ng đâu hiểu mình nói gì.Nếu có gì cần bạn cứ gửi qua [email protected] mình hiểu được gì sẽ giúp -- --- You received this message because you are subscribed to the Google Groups "ossec-list" group. To unsubscribe from this group and stop receiving emails from it, send an email to [email protected]. For more options, visit https://groups.google.com/groups/opt_out.
