41111111111Rating 4.00 (1 Vote)

Здесь по сути все просто, необходимо:

  • Создать Телеграм бота при помощи BotFather
  • Узнать свой ID или ID группы (куда слать сообщения) при помощи бота Get Telegram ID
  • Создать скрипт, который будет слать сообщения
  • Настроить OSSEC

Создание скрипта

Так как нужная нам фича называется Active Response, то все используемые и создаваемые в будущем скрипты необходимо создавать в каталоге:

/var/ossec/active-response/bin

Т.е. создаем скрипт:

nano /var/ossec/active-response/bin/ossec-telegram.sh

С кодом:

#!/bin/sh
# Author: Yevgeniy Goncharov aka xck, http://sys-adm.in
# Send alert to Telegram fromm OSSEC

# Sys env / paths / etc
# -------------------------------------------------------------------------------------------\
PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

# Telegram settings
TOKEN="<TOKEN>"
CHAT_ID="<ID>"


ACTION=$1
USER=$2
IP=$3
ALERTID=$4
RULEID=$5

LOCAL=`dirname $0`;
cd $LOCAL
cd ../
PWD=`pwd`


# Logging the call
echo "`date` $0 $1 $2 $3 $4 $5 $6 $7 $8" >> ${PWD}/../logs/active-responses.log


# Getting alert time
ALERTTIME=`echo "$ALERTID" | cut -d  "." -f 1`

# Getting end of alert
ALERTLAST=`echo "$ALERTID" | cut -d  "." -f 2`

# Getting full alert
ALERT=`grep -A 5 "$ALERTTIME" ${PWD}/../logs/alerts/alerts.log | grep -v ".$ALERTLAST: " -A 5`

curl -s \
-X POST \
https://api.telegram.org/bot$TOKEN/sendMessage \
-d text="$ALERT" \
-d chat_id=$CHAT_ID

Сделать скрипт исполняемым:

chmod +x /var/ossec/active-response/bin/ossec-telegram.sh

Настройка OSSEC

Теперь необходимо в конфиг ossec.conf добавить нужную команду:

  <command>
        <name>send-telegram</name>
        <executable>ossec-telegram.sh</executable>
        <expect></expect>
  </command>

И респонс:

  <active-response>
        <command>send-telegram</command>
        <location>local</location>
        <level>6</level>
  </active-response>

Перезапустить  OSSEC:

/var/ossec/bin/ossec-control restart

Done !

P.S. Собственно репа со скриптом - https://github.com/m0zgen/ossec-to-telegram

Добавить комментарий


Защитный код
Обновить

Сейчас один гость и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз