Ossec

OSSEC 忽略 Snap 核心循環設備

  • June 27, 2020

有誰知道如何忽略/dev/loop.ossec

Ubuntu 18 LTS2 個循環驅動器

/dev/loop0       87M   87M     0 100% /snap/core/4486
/dev/loop1       87M   87M     0 100% /snap/core/4917

ossec: output: 'df -P': /dev/loop0           88704    88704          0     100% /snap/core/4486

我不需要像預期的那樣對此發出警報,我嘗試將掛載路徑添加為忽略目錄,但沒有運氣。

任何幫助或獲得幫助的方向都會很棒。

為了測試有關您的日誌的規則鏈,您可以使用ossec-logtest

為此,您預設在此路徑中執行此文件:/var/ossec/bin/ossec-logtest

而您copy/paste在其中要排除的警報。Ossec 將描述其處理此警報的所有過程:

例子 :

**Phase 1: Completed pre-decoding.
      full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
      hostname: 'my_server'
      program_name: 'kernel'
      log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'

**Phase 2: Completed decoding.
      decoder: 'iptables'

**Phase 3: Completed filtering (rules).
      Rule id: '4101'
      Level: '5'
      Description: 'Firewall drop event.'
**Alert to be generated.

在結果中,您將能夠看到哪個規則受您的日誌影響,並且您將能夠修改這個或這些規則以獲得您想要的。

是修改規則的範例

引用自:https://serverfault.com/questions/920619