OSSEC-Alarm ignorieren

tag-icon tag-icon ossec
OSSEC-Alarm ignorieren

Ich habe OSSEC 2.94 auf CentOS7 installiert und ausgeführt. Ich habe es so eingestellt, dass es bei bestimmten Warnmeldungen E-Mails sendet. Das Senden von Warnmeldungen scheint ordnungsgemäß zu funktionieren. Allerdings überträgt ein Server im Rahmen eines Sicherungsvorgangs jede Nacht eine Datei per SCP auf einen anderen Server. Daher erhalte ich jeden Morgen eine Warnmeldung über diese Anmeldung.

Ich habe tagelang erfolglos versucht, diese eine Warnung zu ignorieren. Das heißt, ich schreibe eine OSSEC-Regel, damit bei dieser einen erwarteten Anmeldung keine Warnung gesendet wird.

Die Warnung, die ich zu ignorieren versuche, ist:

** Alert 1535623261.244876: mail  - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)

Ich habe versucht, Regeln in /var/ossec/rules/local_rules.xml zu schreiben – wie etwa:

<group name="pam,syslog,authentication_success,">
  <rule id="104040" level="0">
    <if_sid>5501</if_sid>
    <user>dbBackupUser</user>
    <options>no_email_alert</options>
    <description>Attempt to ignore sshd logins by dbBackupUser.</description>
  </rule>
</group> <!-- pam,syslog,authentication_success, -->

...Ich habe viele Variationen dieser Regel ausprobiert. Dies ist nur ein Beispiel.

Kann mir jemand sagen, was ich möglicherweise falsch mache?

Als Grundlage habe ich das folgende Beispiel verwendet:

  <!-- This example will ignore failed ssh logins for the user name XYZABC.
    -->
  <!--
  <rule id="100020" level="0">
    <if_sid>5711</if_sid>
    <user>XYZABC</user>
    <description>Example of rule that will ignore sshd </description>
    <description>failed logins for user XYZABC.</description>
  </rule>
  -->

Letztendlich möchte ich, dass die Ignorierregel sowohl die Quell-IP als auch den Benutzernamen untersucht, aber ich habe es bisher nicht geschafft, das zum Laufen zu bringen.

Danke!

Antwort1

Ich habe an so etwas gearbeitet und festgestellt, dass der Benutzer meinen Decoder nicht verstanden hat. Ich bin dann stattdessen auf die Verwendung eines Matches umgestiegen.

Wenn Sie den Protokolleintrag über ossec-logtest ausführen, sollten Sie sehen können, ob für den Benutzer irgendwelche Einstellungen vorgenommen werden.

verwandte Informationen