Используйте активный ответ OSSEC позади подсистемы балансировки нагрузки
Похоже, что я пытался использовать несправедливость DN. Я думал, что древовидный порядок был чем-то как CN=John Doe,OU=Operations Support,OU=Distribution Lists... но это было на самом деле CN=John Doe,OU=User Accounts.... Так, я действительно просто не знал о AD структуре.
Можно добавить IP к белому списку в ossec.conf. Тот файл обычно находится в/var/ossec/etc/ossec.conf.
<global>
<white_list>ip goes here</white_list>
...
</global>
Затем перезапустите ossec с перезапуском/etc/init.d/ossec.
Добавление IP-адреса балансировщика нагрузки в директиву не принесет вам никакой пользы с точки зрения достижения вашей цели, заключающейся в том, что OSSEC заблокирует фактический вредоносный IP-адрес ( IP-адрес конечного пользователя, зарегистрированный на веб-серверах).
Ваш балансировщик нагрузки должен быть настроен для обработки заголовков X-Forwarded-For, а ваш веб-сервер или стек приложений должны быть настроены для записи X-Forwarded-For IP в журналы.
Тогда OSSEC будет работать так, как вы предполагали, потому что его функция активного ответа определит правильный IP-адрес нарушителя в журналах.