Как заставить ossec отправлять только одно электронное письмо для предупреждения?
Я установил ossec с помощью локальной установки, и все работает нормально. Он отправляет оповещения по электронной почте нормально, но похоже, что одно и то же письмо отправляется снова и снова для оповещения.
Например, оповещение отправляется по электронной почте для
Правило: 1002 запущено (уровень 2) -> «Где-то неизвестная проблема в системе ».
Я пытаюсь настроить отправку электронной почты об этом только один раз. В настоящее время он продолжает отправлять электронную почту об этом предупреждении каждые 6 или 7 минут.
Проблема, похоже, в том, что правило 1002 улавливает множество случаев, и получение предупреждения - это нормально. Но получать одно и то же предупреждение 100 раз не имеет смысла. Как бы то ни было, чтобы исправить это?
Я считаю, что вы можете использовать директиву глобально в ossec.conf . Поэтому, если вы установите значение 1 , в верхней части часа он сгруппирует все электронные письма в очереди и отправит их вместе как одно.
Я не уверен, подходит ли это вам, но это альтернатива.
Обратите внимание: вы не можете применять эту директиву для каждого правила, например local_rules.xml и правило 1002 в вашем случае.