我在 CentOS7 上安装并运行了 OSSEC 2.94。我让它在符合警报条件时发送电子邮件。在发送警报方面,一切似乎都运行正常。但是,作为备份过程的一部分,每天晚上,一台服务器都会将文件 scp 到另一台服务器。因此,每天早上我都会收到有关此登录的警报。
几天来,我一直试图忽略那条警报,但毫无成效。也就是说,编写一条 OSSEC 规则,在预期的登录时不发送警报。
我试图忽略的警报是:
** Alert 1535623261.244876: mail - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)
我一直尝试将规则写入 /var/ossec/rules/local_rules.xml - 例如:
<group name="pam,syslog,authentication_success,">
<rule id="104040" level="0">
<if_sid>5501</if_sid>
<user>dbBackupUser</user>
<options>no_email_alert</options>
<description>Attempt to ignore sshd logins by dbBackupUser.</description>
</rule>
</group> <!-- pam,syslog,authentication_success, -->
...我尝试过此规则的许多变体。这只是其中一个例子。
有人能指出我可能做错了什么吗?
我以我找到的这个例子作为基础:
<!-- This example will ignore failed ssh logins for the user name XYZABC.
-->
<!--
<rule id="100020" level="0">
<if_sid>5711</if_sid>
<user>XYZABC</user>
<description>Example of rule that will ignore sshd </description>
<description>failed logins for user XYZABC.</description>
</rule>
-->
最终,我希望忽略规则能够检查源 IP 以及用户名,但目前我还无法让它发挥作用。
谢谢!
答案1
我当时正在研究类似的东西,发现用户无法通过我的解码器接收信息。最后我改用了匹配。
如果您通过 ossec-logtest 运行日志条目,您应该能够看到用户是否设置了任何东西。