我试图忽略从某个主机触发的警报的 ossec 规则。syslog_rules.xml 文件中存在规则 5401:
<rule id="5401" level="10">
<if_sid>5400</if_sid>
<match>3 incorrect password attempts</match>
<description>Three failed attempts to run sudo</description>
</rule>
如果触发此规则,则会生成 10 级警报级别以及一封电子邮件
我想在 local_rules.xml 文件中为此规则添加一个例外,如果发送警报的主机名是 ip-10-XX-XX-XX,则不会生成电子邮件警报。我已经能够在 local_rules.xml 中创建此规则:
<rule id="10040" level="0">
<if_sid>5401</if_sid>
<match>myUserName</match>
<description>List of rules to be ignored.</description>
</rule>
当 myUserName 触发规则 5401 时,不会生成警报。根据 ossec 文档,我应该能够将 match 参数替换为:
<hostname>ip-10-XX-XX-XX</hostname>
然而这并不成功,当我触发规则 5401 时仍然会生成电子邮件警报