OSSEC |Как добавить правило исключения

Question

У меня есть стандартный syslog_rules.xml (OSSEC 2.6.0).Это стандартное правило для плохих слов в файле /var/log/messages:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....    
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....

Как добавить или изменить это правило, использующее $BAD_WORDS, но исключающее фразу auxpropfunc error?То есть как то так:

<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>

Есть идеи?

Answer 1

Ваш лучший вариант - написать правило, игнорирующее эту фразу. Вы можете добавить что-то вроде следующего к /var/ossec/rules/local_rules.xml:

<rule id="SOMETHING" level="0">
  <if_sid>1002</if_sid>
  <match>auxpropfunc error</match>
  <description>Ignore auxpropfunc error.</description>
</rule>

Затем вы можете запустить все сообщение журнала через ossec-logtest, чтобы увидеть, как OSSEC будет его анализировать. Вам может потребоваться добавить еще один параметр в это правило, или нет.

Answer 2

Если у вас есть более одного слова, вы можете добавить что-то вроде следующего в /var/ossec/rules/local_rules.xml

<var name="GOOD_WORDS">error_reporting|auxpropfunc error</var>

<rule id="100002" level="0">
  <if_sid>1002</if_sid>
  <match>$GOOD_WORDS</match>
  <description>Ignore good_words.</description>
</rule>