有人知道如何忽略/dev/loop设备吗ossec?
有Ubuntu 18 LTS2次循环赛
/dev/loop0 87M 87M 0 100% /snap/core/4486
/dev/loop1 87M 87M 0 100% /snap/core/4917
ossec: output: 'df -P': /dev/loop0 88704 88704 0 100% /snap/core/4486
正如预期的那样,我不需要对此发出警报,我尝试将挂载路径添加为忽略目录,但没有成功。
任何帮助或指导都将非常有用。
答案1
为了测试有关你的日志的规则链,你可以使用ossec-logtest
为此,您默认在此路径中执行此文件:/var/ossec/bin/ossec-logtest
并且您copy/paste可以在其中找到要排除的警报。Ossec 将描述其处理这些警报的所有过程:
例子 :
**Phase 1: Completed pre-decoding.
full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
hostname: 'my_server'
program_name: 'kernel'
log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
**Phase 2: Completed decoding.
decoder: 'iptables'
**Phase 3: Completed filtering (rules).
Rule id: '4101'
Level: '5'
Description: 'Firewall drop event.'
**Alert to be generated.
在结果中,您将能够看到哪些规则受到您的日志的影响,并且您将能够修改这个或这些规则以获得您想要的结果。
这里修改规则的示例
答案2
为了解决这个问题,我添加了/var/ossec/rules/local_rules.xml:
<rule id="100100" level="0">
<if_sid>531</if_sid>
<match>cdrom|/media|usb|/mount|floppy|dvd|/dev/loop</match>
<description>Ignoring external media & snap loop devices</description>
</rule>