OSSEC |

Question

私は標準のsyslog_rules.xml（OSSEC 2.6.0）を持っています。 これは/var/log/messagesファイルに悪い言葉のための標準的なルールは次のとおりです。

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var> 
.....  
<rule id="1002" level="2"> 
<match>$BAD_WORDS</match> 
<options>alert_by_email</options> 
<description>Unknown problem somewhere in the system.</description> 
</rule> 
..... 

どのように追加または$BAD_WORDSを使用しますが、auxpropfunc errorフレーズを除外し、このルールを変更することができますか？つまり、次のようなものです：

<match>$BAD_WORDS</match> 
<match>!auxpropfunc error</match> 
<options>alert_by_email</options> 

アイデアはありますか？

Answer 1

おそらく、そのフレーズを無視するルールを書くことをお勧めします。あなたは/var/ossec/rules/local_rules.xmlに次のようなものを追加することができます。

<rule id="SOMETHING" level="0"> 
    <if_sid>1002</if_sid> 
    <match>auxpropfunc error</match> 
    <description>Ignore auxpropfunc error.</description> 
</rule> 

その後、OSSECがそれを分析する方法を確認するためにOSSEC-logtestを通じて全体のログメッセージを実行することができます。このルールに別のオプションを追加する必要がある場合もあれば、そうでない場合もあります。あなたが複数の単語を持っている場合は

Answer 2

、あなたは/var/ossec/rules/local_rules.xmlするには、以下のようなものを追加することができ

<var name="GOOD_WORDS">error_reporting|auxpropfunc error</var> 

<rule id="100002" level="0"> 
    <if_sid>1002</if_sid> 
    <match>$GOOD_WORDS</match> 
    <description>Ignore good_words.</description> 
</rule>