CentOS7 で OSSEC 2.94 をセットアップして実行しています。アラート条件に該当すると電子メールを送信するように設定しています。アラートの送信に関してはすべて正常に機能しているように見えます。ただし、毎晩、バックアップ プロセスの一環として、1 つのサーバーが別のサーバーにファイルを scp 送信します。そのため、毎朝このログインに関するアラートが表示されます。
私は何日もそのアラートを無視しようと試みましたが、成功しませんでした。つまり、その予想されるログイン時にアラートを送信しないように OSSEC ルールを記述するということです。
無視しようとしているアラートは次のとおりです:
** Alert 1535623261.244876: mail - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)
私は次のようなルールを /var/ossec/rules/local_rules.xml に書き込もうとしています。
<group name="pam,syslog,authentication_success,">
<rule id="104040" level="0">
<if_sid>5501</if_sid>
<user>dbBackupUser</user>
<options>no_email_alert</options>
<description>Attempt to ignore sshd logins by dbBackupUser.</description>
</rule>
</group> <!-- pam,syslog,authentication_success, -->
...私はこのルールのさまざまなバリエーションを試しました。これはほんの一例です。
私が何を間違っているのか、誰か指摘してもらえませんか?
私は見つけたこの例を基礎として使用していました:
<!-- This example will ignore failed ssh logins for the user name XYZABC.
-->
<!--
<rule id="100020" level="0">
<if_sid>5711</if_sid>
<user>XYZABC</user>
<description>Example of rule that will ignore sshd </description>
<description>failed logins for user XYZABC.</description>
</rule>
-->
最終的には、無視ルールで src IP とユーザー名を調べたいのですが、まだまったく機能させることができていません。
ありがとう!
答え1
私はそのようなことに取り組んでいましたが、ユーザーが私のデコーダーを拾わないことに気付きました。結局、代わりにマッチを使用するように切り替えました。
ossec-logtest を介してログ エントリを実行すると、ユーザーに何かが設定されているかどうかを確認できるはずです。