Я пытаюсь отключить уведомления по электронной почте для правила 5758 OSSEC.
<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>
В /var/ossec/rules/local_rules.xml я добавил это настраиваемое правило:
<rule id="100002" level="8">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>
Но это правило не действует.
Тебе нужно <rule id="5758" level="0">
Уровень 0 означает игнорирование / никаких действий. Он по-прежнему будет сканировать файл. У меня это в моем /var/ossec/rules/sshd_rules.xml
. Просто измените уровень на ноль. Если вы хотите сохранить локальные изменения в другом файле, вы можете это сделать в файле local_rules.xml, который, вероятно, является лучшим способом справиться с этим. В основном сохраните исходное правило в sshd_rules.xml, а затем перезапишите его с помощью локальных правил.
главное правило в /sshd_rules.xml:
<rule id="5758" level="8">
<decoded_as>sshd</decoded_as>
<match>^error: maximum authentication attempts exceeded </match>
<description>Maximum authentication attempts exceeded.</description>
<group>authentication_failed,</group>
</rule>
а затем в local_rules:
<rule id="100002" level="0">
<if_sid>5758</if_sid>
<description>No mail for max auth SSH</description>
<options>no_email_alert</options>
</rule>