12

標準の syslog_rules.xml (OSSEC 2.6.0) があります。/var/log/messagesこれは、ファイル内の不適切な単語の標準ルールです。

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....    
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....

$BAD_WORDSを使用し、auxpropfunc errorフレーズを除外するこのルールを追加または変更するにはどうすればよいですか? つまり、次のようなものです。

<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>

何か案は?

4

2 に答える 2

13

最善の選択肢は、おそらくそのフレーズを無視するルールを作成することです。次のようなものを に追加できます/var/ossec/rules/local_rules.xml

<rule id="SOMETHING" level="0">
  <if_sid>1002</if_sid>
  <match>auxpropfunc error</match>
  <description>Ignore auxpropfunc error.</description>
</rule>

その後、ossec-logtest を介してログ メッセージ全体を実行し、OSSEC がそれをどのように分析するかを確認できます。このルールに別のオプションを追加する必要がある場合と、そうでない場合があります。

于 2012-01-19T18:36:54.913 に答える
8

複数の単語がある場合は、次のようなものを /var/ossec/rules/local_rules.xml に追加できます。

<var name="GOOD_WORDS">error_reporting|auxpropfunc error</var>

<rule id="100002" level="0">
  <if_sid>1002</if_sid>
  <match>$GOOD_WORDS</match>
  <description>Ignore good_words.</description>
</rule>
于 2013-02-18T03:25:32.723 に答える