问题描述
所以我们创建了一个具有我们自己的 ami 的自动缩放组,该 ami 有一个服务器和一个自动 ossec 服务,该服务向 slack 通道报告,问题是当一个新实例启动时,ossec 发送很多警报,因为文件签名不同,这没关系,因为当启动新实例时,它会在新卷中重新创建 ami。
现在我如何在那些 ami 中安装 ossec,但是当启动一个新实例时,文件中的所有警报都没有更改。
我尝试在启动新实例时重新启动 ossec 服务,但它具有相同的行为,ossec 发送所有文件已更改的警报。
解决方法
由于您的 ossec 代理包含在您的 AMI 中,我认为不可能在第一次启动时停止这些警报,因为正如您所说,这只是 ossec 在识别任何更改时所做的事情,所以我建议不要在映像中包含 ossec 代理,但也可以在自动缩放组创建新实例时使用用户数据安装它,这可能会导致启动实例的额外时间,但它可能会解决您的问题。
,解决此问题的一种方法是使用 cronjob 或 systemd,重新启动或启动混合 OSSEC 进程。
就我而言,我们决定将文件夹添加到例外中,以便 OSSEC 不扫描这些文件夹。