то, как делает агент OSSEC, обнаруживает подпись/предупреждения?

Именно так работает Ossec. Процитируем документацию Ossec :

OSSEC состоит из нескольких частей. У него есть центральный менеджер, который контролирует все и получает информацию от агентов, системного журнала, баз данных и от устройств без агентов.

Таким образом, агенты Ossec «тупы» в том смысле, что они не принимают никаких решений о блокировке / разблокировке самостоятельно. Они передают все данные из указанных источников журналов (определенных в etc / shared / agent.conf ) на сервер управления (определенного в etc / ossec.conf ). Сервер управления анализирует записи журнала и предпринимает действия в соответствии с правилами, определенными в rules / , и, при необходимости, приказывает агентам выполнить заранее определенное действие (обычно блокировать / разблокировать IP-адрес).

Для отслеживания анализа журнала сервера управления ossec вы можете, например, выполните tail -f logs / alerts / alerts.log .

Если вы хотите игнорировать все 400 ошибок из журналов http, вы можете добавить следующее в свои rules / local_rules .xml на вашем сервере Ossec.

<rule id="100010" level="2">
  <if_sid>31151</if_sid>
  <description>Don't care about 400 errors</description>
</rule>

Вы всегда должны выполнять свои настройки в файле local_rules.xml и оставлять предоставленные декодеры (например, web_rules.xml ) в покое. . Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, так как они зарезервированы специально для этого использования.

xml и оставьте предоставленные декодеры (например, web_rules.xml ) в покое. Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, так как они зарезервированы специально для этого использования.

xml и оставьте предоставленные декодеры (например, web_rules.xml ) в покое. Вы также должны сохранить идентификатор правила для локальных правил между 100000-119999, так как они зарезервированы специально для этого использования.