ossec |例外ルールを追加する方法

StackOverflow https://stackoverflow.com/questions/8921570

質問

標準のsyslog_rules.xml(ossec 2.6.0)があります。これは、の悪い単語の標準ルールです /var/log/messages ファイル:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....    
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....

使用するこのルールを追加または変更するにはどうすればよいですか $BAD_WORDS, 、しかし除外します auxpropfunc error 段階?つまり、このようなもの:

<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>

何か案は?

正しい解決策はありません

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top