Я установил ossec с локальной установкой и работает нормально. Он отлично отправляет оповещения по электронной почте, но, похоже, снова и снова отправляет одно и то же письмо для оповещения.
Например, электронное письмо с предупреждением отправлено для
Правило: 1002 сработал (уровень 2) -> «Неизвестная проблема в системе».
Я пытаюсь настроить отправку электронной почты об этом только один раз. В настоящее время он продолжает отправлять электронные письма об этом предупреждении каждые 6 или 7 минут.
Проблема, похоже, в том, что правило 1002 улавливает множество случаев, и получение предупреждения - это нормально. Но получать одно и то же предупреждение 100 раз не имеет смысла. Как бы то ни было, чтобы это исправить?
Я считаю, что вы можете использовать <email_maxperhour>
директива глобально в ossec.conf
. Итак, если вы установите значение на 1
, в начале часа он сгруппирует все электронные письма в очереди и отправит их вместе как одно.
Я не уверен, подходит ли это вам, но это альтернатива.
Обратите внимание: вы не можете применять эту директиву для каждого правила, например local_rules.xml
и правило 1002 в вашем случае.