1. घर
  2. सवाल और जवाब
  3. ओएसएसईसी | अपवाद नियम कैसे जोड़ें

ओएसएसईसी | अपवाद नियम कैसे जोड़ें

2012-01-19 7 views
6

मेरे पास मानक syslog_rules.xml (OSSEC 2.6.0) है। यह /var/log/messages फ़ाइल में अपशब्दों के लिए मानक नियम है:ओएसएसईसी | अपवाद नियम कैसे जोड़ें

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var> 
.....  
<rule id="1002" level="2"> 
<match>$BAD_WORDS</match> 
<options>alert_by_email</options> 
<description>Unknown problem somewhere in the system.</description> 
</rule> 
.....

मैं कैसे जोड़ सकते हैं या इस नियम $BAD_WORDS का उपयोग करता है, लेकिन auxpropfunc error वाक्यांश शामिल नहीं है कि संशोधित कर सकते हैं? यही है, इस तरह कुछ:

<match>$BAD_WORDS</match> 
<match>!auxpropfunc error</match> 
<options>alert_by_email</options>

कोई विचार?

स्रोत

2012-01-19 Anton Shevtsov

उत्तर

9

आपका सबसे अच्छा विकल्प शायद उस वाक्यांश को अनदेखा करने के लिए नियम लिखना है। आप /var/ossec/rules/local_rules.xml के लिए निम्न की तरह कुछ जोड़ सकते हैं:

<rule id="SOMETHING" level="0"> 
    <if_sid>1002</if_sid> 
    <match>auxpropfunc error</match> 
    <description>Ignore auxpropfunc error.</description> 
</rule>

फिर आप देखना चाहते हैं कि OSSEC यह विश्लेषण करेगा ossec-logtest के माध्यम से पूरे लॉग संदेश चला सकते हैं। आपको इस नियम में एक और विकल्प जोड़ने की आवश्यकता हो सकती है, या आप नहीं कर सकते हैं।

स्रोत

2012-01-19 18:36:54

5

आप एक से अधिक पद हैं, तो आप कुछ इस तरह का /var/ossec/rules/local_rules.xml में जोड़ सकते

<var name="GOOD_WORDS">error_reporting|auxpropfunc error</var> 

<rule id="100002" level="0"> 
    <if_sid>1002</if_sid> 
    <match>$GOOD_WORDS</match> 
    <description>Ignore good_words.</description> 
</rule>

स्रोत

2013-02-18 03:25:32

संबंधित मुद्दे

 संबंधित मुद्दे