我试图忽略从某个主机触发的警报的ossec规则。规则5401存在于syslog_rules.xml文件中:
<rule id="5401" level="10">
<if_sid>5400</if_sid>
<match>3 incorrect password attempts</match>
<description>Three failed attempts to run sudo</description>
</rule>
如果触发此规则,则会生成10级警报级别以及电子邮件
我想在local_rules.xml文件中添加此规则的例外,如果发送警报的主机名是ip-10-XX-XX-XX,则不会生成电子邮件警报。我已经能够在local_rules.xml中创建此规则:
<rule id="10040" level="0">
<if_sid>5401</if_sid>
<match>myUserName</match>
<description>List of rules to be ignored.</description>
</rule>
当规则5401由myUserName触发时,不会生成警报。根据ossec文档,我应该能够将匹配参数替换为:
<hostname>ip-10-XX-XX-XX</hostname>
然而,这是不成功的,当我触发规则5401
时仍会生成电子邮件警报