Кто-нибудь знает, как игнорировать /dev/loop
устройство в ossec
.
В Ubuntu 18 LTS
имеет 2 петлевых привода
/dev/loop0 87M 87M 0 100% /snap/core/4486
/dev/loop1 87M 87M 0 100% /snap/core/4917
ossec: output: 'df -P': /dev/loop0 88704 88704 0 100% /snap/core/4486
Мне не нужны предупреждения об этом, как и ожидалось, я попытался добавить пути монтирования в качестве игнорируемого каталога, но не повезло.
Любая помощь или направление для получения помощи были бы фантастическими.
Для тестирования вашей цепочки правил относительно ваших журналов вы можете использовать ossec-logtest
Для этого вы по умолчанию выполняете этот файл по этому пути: /var/ossec/bin/ossec-logtest
А ты copy/paste
в нем оповещения, которые вы хотите исключить. Ossec опишет весь процесс обработки этих предупреждений:
пример :
**Phase 1: Completed pre-decoding.
full event: 'Aug 10 10:42:27 my_server kernel: [40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
hostname: 'my_server'
program_name: 'kernel'
log: '[40156.042928] IPTables-INPUT-Dropped: IN=eth0 OUT= MAC=36:fa:a6:e9:c3:3f:08:00:27:c4:89:63'
**Phase 2: Completed decoding.
decoder: 'iptables'
**Phase 3: Completed filtering (rules).
Rule id: '4101'
Level: '5'
Description: 'Firewall drop event.'
**Alert to be generated.
В результате вы сможете увидеть, на какое правило влияют ваши журналы, и вы сможете изменить то или иное правило, чтобы получить то, что вам нужно.
Вот пример изменения ваших правил
Чтобы исправить это, я добавил /var/ossec/rules/local_rules.xml
:
<rule id="100100" level="0">
<if_sid>531</if_sid>
<match>cdrom|/media|usb|/mount|floppy|dvd|/dev/loop</match>
<description>Ignoring external media & snap loop devices</description>
</rule>