OSSEC | Comment ajouter une exception à la règle

J'ai le standard syslog_rules.xml (OSSEC 2.6.0).
C'est la règle standard pour les mauvais mots dans le /var/log/messages fichier:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....    
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....

Comment puis-je ajouter ou modifier cette règle qui utilise $BAD_WORDS, mais exclut les auxpropfunc error phrase? C'est, à quelque chose comme ceci:

<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>

Des idées?

InformationsquelleAutor Anton Shevtsov | 2012-01-19
  1. 11

    Votre meilleure option est sans doute d'écrire une règle pour ignorer ce membre de phrase. Vous pouvez ajouter quelque chose comme ce qui suit à /var/ossec/rules/local_rules.xml:

    <rule id="SOMETHING" level="0">
  <if_sid>1002</if_sid>
  <match>auxpropfunc error</match>
  <description>Ignore auxpropfunc error.</description>
</rule>

    Vous pouvez ensuite exécuter la totalité du message de journal par le biais de ossec-logtest pour voir comment OSSEC va l'analyser. Vous devrez peut-être ajouter une autre option dans la présente règle, ou vous ne pouvez pas.

    InformationsquelleAutor Dan Parriott
  2. 6

    Si vous avez plus d'un mot, vous pouvez ajouter quelque chose comme ce qui suit dans /var/ossec/rules/local_rules.xml

    <var name="GOOD_WORDS">error_reporting|auxpropfunc error</var>

<rule id="100002" level="0">
  <if_sid>1002</if_sid>
  <match>$GOOD_WORDS</match>
  <description>Ignore good_words.</description>
</rule>
    InformationsquelleAutor Rafael Brito Gomes