我使用本地安装安装了 ossec,运行良好。它可以正常发送电子邮件警报,但似乎为了发出警报而一遍又一遍地发送同一封电子邮件。
例如,发送警报电子邮件
规则:1002 触发(级别 2)->“系统中某处出现未知问题。”
我想要设置的是只发送一次有关此问题的电子邮件。目前,它每 6 或 7 分钟发送一次有关此警报的电子邮件。
问题似乎是规则 1002 会捕获大量情况,并且收到警报是正常的。但收到 100 次相同的警报似乎没有意义。有什么办法可以解决这个问题吗?
答案1
我相信您可以<email_maxperhour>在 中全局使用该指令ossec.conf。因此,如果您将值设置为1,则在整点时,它将对所有排队的电子邮件进行分组并将其作为一个邮件发送。
我不确定这是否适合您的需要,但这是一种替代方案。
请注意,您不能根据规则应用该指令,例如,local_rules.xml在您的情况下为规则 1002。