Это - заголовок ответа, не, заголовок запроса - поэтому просто использует сброс Заголовка не RequestHeader.
Именно так работает Ossec. Процитируем документацию Ossec :
OSSEC состоит из нескольких частей. У него есть центральный менеджер, который контролирует все и получает информацию от агентов, системного журнала, баз данных и от устройств без агентов.
Таким образом, агенты Ossec «тупы» в том смысле, что они не принимают никаких решений о блокировке / разблокировке самостоятельно. Они передают все данные из указанных источников журналов (определенных в etc / shared / agent.conf
) на сервер управления (определенного в etc / ossec.conf
). Сервер управления анализирует записи журнала и предпринимает действия в соответствии с правилами, определенными в rules /
, и, при необходимости, приказывает агентам выполнить заранее определенное действие (обычно блокировать / разблокировать IP-адрес).
Для отслеживания анализа журнала сервера управления ossec вы можете, например, выполните tail -f logs / alerts / alerts.log
.
Если вы хотите игнорировать все 400 ошибок из журналов http, вы можете добавить следующее в свои rules / local_rules .xml
на вашем сервере Ossec.
<rule id="100010" level="2">
<if_sid>31151</if_sid>
<description>Don't care about 400 errors</description>
</rule>
Вы всегда должны выполнять свои настройки в файле local_rules.xml
и оставлять предоставленные декодеры (например, web_rules.xml
) в покое. . Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, так как они зарезервированы специально для этого использования.
web_rules.xml
) в покое. Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, так как они зарезервированы специально для этого использования. xml и оставьте предоставленные декодеры (например, web_rules.xml
) в покое. Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, так как они зарезервированы специально для этого использования.