ossec 實時文件監控僅報告第一次更改，但完全更改僅由計劃的後續掃描報告

我們目前在 Windows 上執行了一些 ossec 代理，並實時監控啟動的文件 - 在代理站點上具有以下配置：

<syscheck>
 <!-- Frequency that syscheck is executed - default to every 2 hours -->
 <frequency>7200</frequency>

 <directories check_all="yes" realtime="yes">D:\path1</directories>
 <directories check_all="yes" realtime="yes">D:\path2</directories>

 <disabled>no</disabled>  
 <auto_ignore>no</auto_ignore>
</syscheck>  

這基本上是可行的——除了實時報告文件的第一次編輯。同一文件的任何後續更改僅通過每 7200 秒的計劃掃描報告一次，但在第一次編輯後不會觸發實時通知。

如果我編輯另一個以前未觸及的文件 - 它會在第一次更改時再次起作用，但之後不會。

是否有任何其他設置可以檢查/更改/設置以可靠地獲得文件更改通知？可以查看什麼來確定問題？

這有點令人費解……非常感謝您的任何意見。

答案是：不知何故錯過了領先的預設值：

1. 您必須請求實時監控作為代理端的額外標誌
2. 您必須在伺服器端禁用 auto_ignore，因為這預設為 yes -> 意味著在初始更新之後忽略來自代理的進一步更新

在調試級別 2 中執行代理時；可以看到所有文件都受到監控，檢測到更改並將數據發送到伺服器。但是伺服器預設會忽略它們。即使以這種方式記錄，這也有點令人困惑/錯過領先！在實時標誌上應該注意，也必須更改伺服器端 - 這兩個設置的相互依賴性並不明顯！

令人困惑的是：第一次更改有效，但同一文件的第二次無效！就是這樣了！

引用自：https://serverfault.com/questions/828724