Назад | Перейти на главную страницу

OSSEC игнорировать устройство петли с сердечником Snap

Кто-нибудь знает, как игнорировать /dev/loop устройство в ossec .

В Ubuntu 18 LTS имеет 2 петлевых привода

/dev/loop0       87M   87M     0 100% /snap/core/4486
/dev/loop1       87M   87M     0 100% /snap/core/4917

ossec: output: 'df -P': /dev/loop0           88704    88704          0     100% /snap/core/4486

Мне не нужны предупреждения об этом, как и ожидалось, я попытался добавить пути монтирования в качестве игнорируемого каталога, но не повезло.

Любая помощь или направление для получения помощи были бы фантастическими.

Для тестирования вашей цепочки правил относительно ваших журналов вы можете использовать ossec-logtest

Для этого вы по умолчанию выполняете этот файл по этому пути: /var/ossec/bin/ossec-logtest

А ты copy/paste в нем оповещения, которые вы хотите исключить. Ossec опишет весь процесс обработки этих предупреждений:

пример :

**Phase 1: Completed pre-decoding.
       full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
       hostname: 'my_server'
       program_name: 'kernel'
       log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'

**Phase 2: Completed decoding.
       decoder: 'iptables'

**Phase 3: Completed filtering (rules).
       Rule id: '4101'
       Level: '5'
       Description: 'Firewall drop event.'
**Alert to be generated.

В результате вы сможете увидеть, на какое правило влияют ваши журналы, и вы сможете изменить то или иное правило, чтобы получить то, что вам нужно.

Вот пример изменения ваших правил

Чтобы исправить это, я добавил /var/ossec/rules/local_rules.xml:

<rule id="100100" level="0">
  <if_sid>531</if_sid>
  <match>cdrom|/media|usb|/mount|floppy|dvd|/dev/loop</match>
  <description>Ignoring external media & snap loop devices</description>
</rule>

источник