Назад | Перейти на главную страницу

ossec 2.8.3: получение предупреждений об аутентификации от Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational

на ossec 2.8.3 Я пытаюсь получать предупреждения только для аутентификации rdp от агентов Windows.

Эти события отображаются в журнале событий клиентов Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational, например, с помощью eventID 1149

У меня есть файл конфигурации агентов Windows

  <localfile>
    <location>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</location>
    <log_format>eventchannel</log_format>
  </localfile>

на сервере в моем local_rules.xml у меня есть

<group name="rdesktop">
<rule id="100888" level="1">
<match>Remote Desktop Services</match>
<description>Remote Desktop Connection Established</description>
</rule>
</group>

Я не получаю сообщений от удаленного клиента (который отправляет предупреждения, если я использую Security)

Я вижу некоторый трафик от клиента к серверу с помощью tcpdump, если я генерирую 1149 событий входа в систему, но нет никаких доказательств даже с <logall>yes</logall> на сервере ossec.

Кто-нибудь может поделиться своим мнением?

Большое спасибо г.

Может я недопонимаю. Нужно добавить раздел опций в свои местные правила?

<options>alert_by_email</options>