我在 CentOS7 上安裝並運行了 OSSEC 2.94。我讓它在符合警報條件時發送電子郵件。在發送警報方面,一切似乎都運作正常。然而,每天晚上,作為備份過程的一部分,一台伺服器將檔案 scp 到另一台伺服器。因此,每天早上我都會收到有關此登入的警報。
幾天來我一直在嘗試忽略這個警報,但沒有成功。意思是,編寫一條 OSSEC 規則,以便在預期登入時不發送警報。
我試著忽略的警報是:
** Alert 1535623261.244876: mail - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)
我一直在嘗試將規則寫入 /var/ossec/rules/local_rules.xml - 例如:
<group name="pam,syslog,authentication_success,">
<rule id="104040" level="0">
<if_sid>5501</if_sid>
<user>dbBackupUser</user>
<options>no_email_alert</options>
<description>Attempt to ignore sshd logins by dbBackupUser.</description>
</rule>
</group> <!-- pam,syslog,authentication_success, -->
……我嘗試過這個規則的許多變體。這只是一個例子。
誰能指出我可能做錯了什麼?
我使用我發現的這個例子作為我的基礎:
<!-- This example will ignore failed ssh logins for the user name XYZABC.
-->
<!--
<rule id="100020" level="0">
<if_sid>5711</if_sid>
<user>XYZABC</user>
<description>Example of rule that will ignore sshd </description>
<description>failed logins for user XYZABC.</description>
</rule>
-->
最終,我希望忽略規則能夠檢查 src IP 以及用戶名,但我還無法讓它正常工作。
謝謝!
答案1
我正在研究類似的事情,發現用戶沒有接受我的解碼器。我最終改用火柴。
如果您透過 ossec-logtest 運行日誌條目,您應該能夠查看使用者是否設定了任何內容。