OSSEC | Cómo agregar una regla de excepción

Question

Tengo el estándar syslog_rules.xml (OSSEC 2.6.0). Esta es la regla estándar para las malas palabras en el archivo /var/log/messages:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var> 
.....  
<rule id="1002" level="2"> 
<match>$BAD_WORDS</match> 
<options>alert_by_email</options> 
<description>Unknown problem somewhere in the system.</description> 
</rule> 
..... 

¿Cómo puedo añadir o modificar esta regla utilizada por $BAD_WORDS, pero excluye la frase auxpropfunc error? Es decir, algo como esto:

<match>$BAD_WORDS</match> 
<match>!auxpropfunc error</match> 
<options>alert_by_email</options> 

¿Alguna idea?

Answer 1

Su mejor opción es probablemente escribir una regla para ignorar esa frase. Se podría añadir algo como lo siguiente a /var/ossec/rules/local_rules.xml:

<rule id="SOMETHING" level="0"> 
    <if_sid>1002</if_sid> 
    <match>auxpropfunc error</match> 
    <description>Ignore auxpropfunc error.</description> 
</rule> 

A continuación, puede ejecutar todo el mensaje de registro a través ossec-logtest para ver cómo OSSEC la analizará. Es posible que deba agregar otra opción a esta regla, o puede que no.

Answer 2

Si usted tiene más de una palabra, se podría añadir algo como lo siguiente a /var/ossec/rules/local_rules.xml

<var name="GOOD_WORDS">error_reporting|auxpropfunc error</var> 

<rule id="100002" level="0"> 
    <if_sid>1002</if_sid> 
    <match>$GOOD_WORDS</match> 
    <description>Ignore good_words.</description> 
</rule>