на ossec 2.8.3 Я пытаюсь получать предупреждения только для аутентификации rdp от агентов Windows.
Эти события отображаются в журнале событий клиентов Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational, например, с помощью eventID 1149
У меня есть файл конфигурации агентов Windows
<localfile>
<location>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
на сервере в моем local_rules.xml у меня есть
<group name="rdesktop">
<rule id="100888" level="1">
<match>Remote Desktop Services</match>
<description>Remote Desktop Connection Established</description>
</rule>
</group>
Я не получаю сообщений от удаленного клиента (который отправляет предупреждения, если я использую Security)
Я вижу некоторый трафик от клиента к серверу с помощью tcpdump, если я генерирую 1149 событий входа в систему, но нет никаких доказательств даже с <logall>yes</logall>
на сервере ossec.
Кто-нибудь может поделиться своим мнением?
Большое спасибо г.
Может я недопонимаю. Нужно добавить раздел опций в свои местные правила?
<options>alert_by_email</options>