OSSEC | Cómo agregar una regla de excepción
-
30-10-2019 - |
Pregunta
Tengo el syslog_rules.xml estándar (OSSEC 2.6.0). Esta es la regla estándar de malas palabras en el /var/log/messages
expediente:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....
¿Cómo puedo agregar o modificar esta regla que usa $BAD_WORDS
, pero excluye el auxpropfunc error
¿frase? Es decir, algo como esto:
<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>
¿Algunas ideas?
No hay solución correcta
Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow