ossec |例外ルールを追加する方法
-
30-10-2019 - |
質問
標準のsyslog_rules.xml(ossec 2.6.0)があります。これは、の悪い単語の標準ルールです /var/log/messages
ファイル:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....
使用するこのルールを追加または変更するにはどうすればよいですか $BAD_WORDS
, 、しかし除外します auxpropfunc error
段階?つまり、このようなもの:
<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>
何か案は?
正しい解決策はありません
所属していません StackOverflow