我有标准的syslog_rules.xml(OSSEC 2.6.0)。
这是/var/log/messages文件中坏词的标准规则:
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....
如何添加或修改使用$BAD_WORDS的此规则,但不包括auxpropfunc error短语?就是这样:
<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>
有什么想法吗?
答案 0 :(得分:10)
您最好的选择可能是编写一条规则来忽略该短语。您可以在/var/ossec/rules/local_rules.xml中添加以下内容:
<rule id="SOMETHING" level="0">
<if_sid>1002</if_sid>
<match>auxpropfunc error</match>
<description>Ignore auxpropfunc error.</description>
</rule>
然后,您可以通过ossec-logtest运行整个日志消息,以了解OSSEC将如何分析它。您可能需要在此规则中添加其他选项,或者您可能不需要。
答案 1 :(得分:5)
如果您有多个单词,可以在/var/ossec/rules/local_rules.xml中添加以下内容
<var name="GOOD_WORDS">error_reporting|auxpropfunc error</var>
<rule id="100002" level="0">
<if_sid>1002</if_sid>
<match>$GOOD_WORDS</match>
<description>Ignore good_words.</description>
</rule>