我已阅读有关Wazuh中Centralized的配置。 但是,可以在服务器中启用/禁用规则,而不是在所有服务器中更改规则吗?
答案 0 :(得分:0)
我找到了答案here。
在ossec模型中,代理没有有关规则的信息 任何。因此,如果 您需要修改规则,需要在服务器端进行操作。
您如何做?如果您有这样的规则(来自我们的常见问题解答):
` <group name="local">
<rule id="100101" level="0">
<if_sid>123, 456</if_sid>
<match>xyz</match>
<description>Events ignored</description>
</rule>
</group>
`
但是您只希望将其应用于一个代理,您需要使用“主机名”标签 将其限制为所需的代理:
<group name="local">
<rule id="100101" level="0">
<if_sid>123, 456</if_sid>
<match>xyz</match>
<hostname>agent1|agent2</hostname>
<description>Events ignored</description>
</rule>
</group>
希望有帮助。