我在监视器/代理configuration中安装了几台服务器上的Ossec。 一切工作伟大。
惹恼我的唯一的事情就是在logrotate旋转我观看的日志之后,我一直收到警报。
现在我的邮箱里充满了Rule: 550 fired (level 7) -> "Integrity checksum changed." 邮件,这降低了我的信噪比。 如果每天都有十几个误报,我恐怕不会仔细看看那些警报。
我该如何处理这种情况? 我怎样才能让ossec意识到日志的旋转,所以它不会每次发送邮件给我?
你可以创build另一个OSSEC规则,以响应550.说你的logrotate在每个星期二午夜翻滚日志。 根据OSSEC规则的语法 ,您可以指定“时间”和“星期几”标记将白名单logrotate。 所以如果这个规则在那个时候触发,我们禁止发邮件并将其降级到2级。
当然,这里假设日志旋转是实际上正在进行移动的程序。 您可以进一步扩展以定制报告。 例如,如果白名单规则在10分钟的时间范围内被多次触发,则升级到级别14(什么是logrotate?)。
在local_rules.xml文件中添加以下规则。
<rule id="550" level="7" overwrite="yes"> <category>ossec</category> <decoded_as>syscheck_integrity_changed</decoded_as> <hostname>your_server_name</hostname> <match>logrotate</match> <options>no_email_alert</options> <description>No email alerts for Integrity checksum changed for logrotate.</description> <group>syscheck,</group> </rule>
在查看其他规则之前,OSSEC将首先查看local_rules.xml ,因此它将应用<options>no_email_alert</options>指令,但仅适用于<hostname>指令中定义的主机/服务器以及匹配logrotate关键字在警报中。