Tôi có syslog_rules.xml chuẩn (OSSEC 2.6.0). Đây là quy tắc tiêu chuẩn cho các từ xấu trong file /var/log/messages
:OSSEC | Cách thêm quy tắc ngoại lệ
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....
Làm thế nào tôi có thể thêm hoặc sửa đổi quy tắc này có sử dụng $BAD_WORDS
, nhưng không bao gồm các cụm từ auxpropfunc error
? Tức là, một cái gì đó như thế này:
<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>
Bất kỳ ý tưởng nào?