5.3 Lua接口

5.3.1 发布端相关功能

5.3.1.1 把日志发往syslog服务器（Windows 平台）

• 修改"发布服务器安装目录"\plugin\lua\_log-sys.lua文件名为log.lua；
• 在Web控制台上，选择”开始“-”系统管理“-”控制面板“-"系统插件"，启动其中的【日志过滤】功能；
• 修改新的log.lua文件里这一句：local syslogip = "10.10.20.62" 为实际使用的syslog服务器地址，如local syslogip = "192.168.12.8"；
• 启动控制台【开始】->【系统管理】->【控制面板】->【系统插件】里的“日志过滤”插件；
• 注意：只发送报警日志和系统日志里的出错信息部分！

5.3.1.2 把日志发往syslog服务器（Linux 平台）

• 修改"发布服务器安装目录"/plugin/lua/_log-sys.lua文件名为log.lua；
• 在Web控制台上，选择”开始“-”系统管理“-”控制面板“-"系统插件"，启动其中的【日志过滤】功能；
• 编辑/etc/rsyslog.conf（部分平台可能是/etc/syslog.conf），加入以下一行,设置syslogip: local6.* @10.10.20.62
• 重启发布服务和rsyslog服务：service rsyslog restart；
• 注意：只发送报警日志和系统日志里的出错信息部分！

5.3.1.3 在发布端检查是否有恶意代码（Windows|Linux平台）

• 修改"发布服务器安装目录"\plugin\lua\_presync.lua文件名为presync.lua；
• 在Web控制台上，选择”开始“-”系统管理“-”控制面板“-"系统插件"，启动其中的【同步前通知】功能；
• 默认发现可疑文件只报警，不会有其他处理（因为有误报可能），如需要主动移动可疑文件，修改presync.lua里这一行：local force_del = 0 为 local force_del = 1 ，会实现自动删除的效果。被删除的文件也会自动备份在发布服务器的/backup目录下；
• 启动控制台【开始】->【系统管理】->【控制面板】->【系统插件】里的“同步前通知”插件；
• 注意： 这个“可疑”的标准是基于我们的一个Webshell模式检查结果；如果需要检查的不是Webshell，而是其他内容，需要稍加修改。

5.3.1.4 在发布端加时间戳自动备份文件（Windows|Linux平台）

• 修改"发布服务器安装目录"\plugin\lua\_postsync_autobackup.lua 文件名 postsync.lua；
• 在Web控制台上，选择”开始“-”系统管理“-”控制面板“-"系统插件"，启动其中的【同步后通知】功能；

5.3.2 同步端相关功能###

5.3.2.1 修改接受端文件的权限（Linux平台）

• 默认同步端接收文件的属主为igdagent运行用户，权限为755。如果对这个设置不够满意，可以做自定义调整；
• 如果需要调整接收到文件的属主，igdagent进程的属主必须足够高（建议为root用户），如以普通用户运行igdagent进程，将无法指定其他用户属主；
• 修改"同步服务器安装目录"/plugin/lua/_postsync.lua 文件名为postsync.lua；
• 需要根据实际情况自定义postsync.lua里的目录/文件模式；
• 重启同步服务。

5.3.2.2 配合iLocker 实现文件被修改后自动恢复的效果（Linux平台）

• 修改"同步服务器安装目录"/plugin/lua/_alert.lua文件名为alert.lua；

• 把ilocker解压到igdagent目录下，也就是启动ilocker的时候，是执行igdagent/bin/ilocker -g start （这个目录结构不能错，中间不能多一层目录，而且启动iLocker时一定要使用-g参数）。不过这一步还不需要启动iLocker，只需要放好目录就行。

• conf/ilocker.conf的基本配置如下（要点a.去掉靠前面的一行“pass”项的"#"注释符；b.要对igdagent进程放开写权限；c.对要防护的目录（例子里是/var/www/dst）做deny防护：

  pass
  .....
  ,/usr/local/iguard5/igdagent/igdagent,,,/var/www/dst/,pass
  ,,,,/var/www/dst/*,deny

• 把正确的ilocker lib文件复制成ilocker.ko后，就可以执行igdagent/bin/ilocker -g start 了。以后如果往保护目录里非法地修改文件，igdagent/logs/ilocker.log日志里将会有记录；

• 重新启动igdagent服务，会看到启动的时候多了一行Alert lua plugin is loaded提示。这个是正常的，然后直接回车一下就好了。

• 在保护目录（例子里是/var/www/dst 目录）里做一些修改增加和删除的操作，控制台上就直接有提示了。如果是改了原有文件的，会触发恢复上传；

• 如果希望直接就拒绝这种非法的改，就把ilocker.conf配置里那一行pass注释掉：#pass，默认没写的话是拦截的模式，那就直接不能改了。

• 被篡改的文件会自动备份在igdagent/backup目录下；

• 重启同步服务。

5.3.2.3 完整的目录删除（Windows or Linux平台）

• 修改"同步服务器安装目录"/plugin/lua/_postsync_forcedel.lua文件名为postsync.lua；
• 重新启动igdagent服务。如果是Linux，会看到启动的时候多了一行Postsync lua plugin is loaded提示。这个是正常的，然后直接回车一下就好了；
• 这样确保在发布端做了目录删除或者目录移动时，不会产生原目录里目录结构未被删除的问题。

5.3.2.4 接收端不执行所有的删除动作（Windows or Linux平台）

• 修改"同步服务器安装目录"/plugin/lua/_presync_nodelete.lua文件名为 presync.lua；
• 重新启动igdagent服务。如果是Linux，会看到启动的时候多了一行Presync lua plugin is loaded提示。这个是正常的，然后直接回车一下就好了；
• 这样会忽略所有的文件删除动作，也就是所有发布端的删除任务，接收端都不会执行。