OSSEC | Comment ajouter une exception à la règle
J'ai le standard syslog_rules.xml (OSSEC 2.6.0).
C'est la règle standard pour les mauvais mots dans le /var/log/messages
fichier:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....
Comment puis-je ajouter ou modifier cette règle qui utilise $BAD_WORDS
, mais exclut les auxpropfunc error
phrase? C'est, à quelque chose comme ceci:
<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>
Des idées?
Vous devez vous connecter pour publier un commentaire.
Votre meilleure option est sans doute d'écrire une règle pour ignorer ce membre de phrase. Vous pouvez ajouter quelque chose comme ce qui suit à
/var/ossec/rules/local_rules.xml
:Vous pouvez ensuite exécuter la totalité du message de journal par le biais de ossec-logtest pour voir comment OSSEC va l'analyser. Vous devrez peut-être ajouter une autre option dans la présente règle, ou vous ne pouvez pas.
Si vous avez plus d'un mot, vous pouvez ajouter quelque chose comme ce qui suit dans /var/ossec/rules/local_rules.xml