0

我试图抑制/忽略每个 OSSEC 规则的 alert_by_email 选项。该文档建议以下内容:

“某些规则设置了一个选项来强制 OSSEC 发送警报电子邮件。此选项是 alert_by_email。其中一个规则是 1002。要忽略这些规则,您必须创建一个规则来专门忽略它,或者在没有alert_by_email 选项。”

但是,我找不到任何创建单个角色以忽略该选项的示例。希望你们能帮助我。

4

1 回答 1

0

在 ossec/rules/local_rules.xml 文件中添加以下规则:

在文件底部添加规则,但确保它在<group>标记内。

<group>
   ...
   ..
   ...

    <rule id="1002" level="2" overwrite="yes">
      <options>no_email_alert</options>
      <description>Unknown problem somewhere in the system.</description>
    </rule> 
</group>

这将停止发送规则 id=1002 的电子邮件警报

于 2015-11-06T14:08:22.963 回答