Кто-нибудь знает, как игнорировать устройство / dev / loop
в ossec
.
Ubuntu 18 LTS
имеет 2 диска с замкнутым циклом
/dev/loop0 87M 87M 0 100% /snap/core/4486
/dev/loop1 87M 87M 0 100% /snap/core/4917
ossec: output: 'df -P': /dev/loop0 88704 88704 0 100% /snap/core/4486
Мне не нужны предупреждения об этом, как и ожидалось, я попытался добавить пути монтирования в качестве каталога игнорирования, но не повезло.
Любая помощь или направление для получения помощи были бы фантастическими.
Для тестирования вашей цепочки правил, касающихся ваших журналов, вы можете использовать ossec-logtest
Для этого вы запускаете этот файл по умолчанию по этому пути: / var / ossec / bin / ossec-logtest
И вы копируете / вставляете в него
предупреждения, которые вы хотите исключить.
Ossec опишет весь процесс обработки этих предупреждений:
пример:
**Phase 1: Completed pre-decoding.
full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
hostname: 'my_server'
program_name: 'kernel'
log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
**Phase 2: Completed decoding.
decoder: 'iptables'
**Phase 3: Completed filtering (rules).
Rule id: '4101'
Level: '5'
Description: 'Firewall drop event.'
**Alert to be generated.
В результатах вы сможете увидеть, на какое правило влияют ваши журналы, и вы сможете изменить это или эти правила, чтобы получить какие вы хотите.
Вот пример изменения ваших правил
Чтобы исправить это, я добавил в /var/ossec/rules/local_rules.xml
:
<rule id="100100" level="0">
<if_sid>531</if_sid>
<match>cdrom|/media|usb|/mount|floppy|dvd|/dev/loop</match>
<description>Ignoring external media & snap loop devices</description>
</rule>