安装了 OSSEC 的 aws autoscaling AMI

Question

所以我们创建了一个带有我们自己的 ami 的自动缩放组，该 ami 有一个服务器和一个向 slack 通道报告的自动化 ossec 服务，问题是当一个新实例启动时，ossec 会发送很多警报，因为文件签名不同，这没关系，因为当启动新实例时，它会在新卷中重新创建 ami。

现在我如何在那些 ami 中安装 ossec，但是当启动一个新实例时，文件中的所有警报都没有更改。

我尝试在启动新实例时重新启动 ossec 服务，但它具有相同的行为，ossec 发送所有文件已更改的警报。

Answer 1

由于您的 AMI 中包含您的 ossec 代理，我认为不可能在第一次启动时停止这些警报，因为正如您所说，这只是 ossec 在识别任何更改时所做的，所以我建议不要包括 ossec 代理在映像中，但或者在自动缩放组创建新实例时使用用户数据安装它，这可能会导致额外的时间来启动实例，但它可能会解决您的问题。

Answer 2

解决此问题的一种方法是使用 cronjob 或 systemd 重新启动或启动混合 OSSEC 进程。

在我的例子中，我们决定在例外中添加文件夹，这样 OSSEC 就不会扫描这些文件夹。

Answer 3

最近几天，我一直在 AWS 的 golden amis 下实施 ossec，这一直是一个巨大的痛苦，因为每次创建 ec2 实例时都会生成文件更改警报。

这里存在两大要点：

1. ec2 是使用cloud init创建的。 我必须创建一个新的 ossec 服务的 systemd 模板以在 cloud-final.service 之后启动：

              [Unit]
              Description=OSSEC
              After=network.target cloud-final.service
              After=multi-user.target

              [Service]
              Type=forking
              ExecStart=/var/ossec/bin/ossec-control start
              ExecStop=/var/ossec/bin/ossec-control stop
              ExecReload=/var/ossec/bin/ossec-control restart

              Restart=always

              [Install]
              WantedBy=multi-user.target

2. OSSEC 使用队列工作。 您必须确保在生成 ami 时停止 ossec 服务并清理以下目录：

• /var/ossec/queue/diff/local/*
• /var/ossec/queue/syscheck/*
• /var/ossec/日志/警报/*

我必须付出很大的努力才能实现这一目标。 所以我希望我在这篇文章中的回答对将来有所帮助