OSSEC 忽略 Snap 核心循環設備

有誰知道如何忽略/dev/loop.ossec

有Ubuntu 18 LTS2 個循環驅動器

/dev/loop0       87M   87M     0 100% /snap/core/4486
/dev/loop1       87M   87M     0 100% /snap/core/4917

ossec: output: 'df -P': /dev/loop0           88704    88704          0     100% /snap/core/4486

我不需要像預期的那樣對此發出警報，我嘗試將掛載路徑添加為忽略目錄，但沒有運氣。

任何幫助或獲得幫助的方向都會很棒。

為了測試有關您的日誌的規則鏈，您可以使用ossec-logtest

為此，您預設在此路徑中執行此文件：/var/ossec/bin/ossec-logtest

而您copy/paste在其中要排除的警報。Ossec 將描述其處理此警報的所有過程：

例子 ：

**Phase 1: Completed pre-decoding.
      full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
      hostname: 'my_server'
      program_name: 'kernel'
      log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'

**Phase 2: Completed decoding.
      decoder: 'iptables'

**Phase 3: Completed filtering (rules).
      Rule id: '4101'
      Level: '5'
      Description: 'Firewall drop event.'
**Alert to be generated.

在結果中，您將能夠看到哪個規則受您的日誌影響，並且您將能夠修改這個或這些規則以獲得您想要的。

這是修改規則的範例

引用自：https://serverfault.com/questions/920619