OSSEC 忽略 Snap 核心循环设备

OSSEC 忽略 Snap 核心循环设备

有人知道如何忽略/dev/loop设备吗ossec

Ubuntu 18 LTS2次循环赛

/dev/loop0       87M   87M     0 100% /snap/core/4486
/dev/loop1       87M   87M     0 100% /snap/core/4917

ossec: output: 'df -P': /dev/loop0           88704    88704          0     100% /snap/core/4486

正如预期的那样,我不需要对此发出警报,我尝试将挂载路径添加为忽略目录,但没有成功。

任何帮助或指导都将非常有用。

答案1

为了测试有关你的日志的规则链,你可以使用ossec-logtest

为此,您默认在此路径中执行此文件:/var/ossec/bin/ossec-logtest

并且您copy/paste可以在其中找到要排除的警报。Ossec 将描述其处理这些警报的所有过程:

例子 :

**Phase 1: Completed pre-decoding.
       full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
       hostname: 'my_server'
       program_name: 'kernel'
       log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'

**Phase 2: Completed decoding.
       decoder: 'iptables'

**Phase 3: Completed filtering (rules).
       Rule id: '4101'
       Level: '5'
       Description: 'Firewall drop event.'
**Alert to be generated.

在结果中,您将能够看到哪些规则受到您的日志的影响,并且您将能够修改这个或这些规则以获得您想要的结果。

这里修改规则的示例

答案2

为了解决这个问题,我添加了/var/ossec/rules/local_rules.xml

<rule id="100100" level="0">
  <if_sid>531</if_sid>
  <match>cdrom|/media|usb|/mount|floppy|dvd|/dev/loop</match>
  <description>Ignoring external media & snap loop devices</description>
</rule>

来源

相关内容