在ossec 2.8.3我正在尝试仅从 Windows 代理获取 RDP 身份验证的警报。
这些事件显示在客户端事件日志 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 中,例如事件 ID 1149
我的 Windows 代理配置文件中有一个
<localfile>
<location>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
在服务器上的 local_rules.xml 中我有
<group name="rdesktop">
<rule id="100888" level="1">
<match>Remote Desktop Services</match>
<description>Remote Desktop Connection Established</description>
</rule>
</group>
我没有收到来自远程客户端的消息(如果我使用安全性,则会发送警报)
如果我生成 1149 个登录事件,我会通过 tcpdump 看到一些从客户端到服务器的流量,但即使
<logall>yes</logall> 在 ossec 服务器中也没有证据。
有人可以分享一些见解吗?
非常感谢 g。
答案1
也许我理解错了。需要在当地规则中添加选项部分吗?
<options>alert_by_email</options>