Log-Einträge in OSSEC ignorieren


Wer OSSEC im Einsatz hat, der kennt das Problem, dass bei Cronjobs u.ä. Syslog-Einträge erzeugt werden, die jedes Mal einen Alert auslösen. Um solche Einträge zu ignorieren, kann man eine GOOD_WORDS-Regel in die Regelsätze von rules/syslog_rules.xml einfügen.

Dazu definiert man unter der BAD_WORDS-Variable ein entsprechendes Gegenstück:

<var name="GOOD_WORDS">meinkeyword1|meinkeyword2</var>

Und fügt in die Gruppe „syslog,errors,“ eine weitere Regel hinzu:

  <rule id="1010" level="0">
    <if_sid>1002</if_sid>
    <match>$GOOD_WORDS</match>
    <description>Ignore good_words.</description>
  </rule>

Bitte beachtet hierbei, dass die ID einmalig sein muss. Sie muss also ggf. bei eurer Installation noch angepasst werden. Der Trick ist hier das Level, denn alles, was kleiner ist als Level 1 wird von OSSEC nicht als Alert versendet.

Nach einem Restart von OSSEC werden die in GOOD_WORDS angegebenen Wörter im Syslog ignoriert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.