Question

我试图压制/忽略每个OSSEC规则的alert_by_email选项。文档建议如下：

“某些规则设置了强制OSSEC发送警报电子邮件的选项。此选项为alert_by_email。其中一条规则为1002.要忽略这些规则，您必须创建一条规则来专门忽略它，或覆盖没有alert_by_email选项的规则。“

但是我找不到任何创建单个角色来忽略该选项的示例。希望你们能帮助我。

Answer 1

在ossec / rules / local_rules.xml文件中添加以下规则：

在文件底部添加规则，但要确保它在<group>标记内。

<group>
   ...
   ..
   ...

    <rule id="1002" level="2" overwrite="yes">
      <options>no_email_alert</options>
      <description>Unknown problem somewhere in the system.</description>
    </rule> 
</group>

这将停止发送规则ID = 1002的电子邮件警报

单个OSSEC规则来抑制alert_by_email

1 个答案: