Единое правило OSSEC для подавления alert_by_email

Question

Im пытается подавить/игнорировать параметр alert_by_email для каждого правила OSSEC. Документация предлагает следующее:

«В некоторых правилах есть опция, позволяющая OSSEC отправлять электронную почту с предупреждением. Этот параметр является alert_by_email. Одно из этих правил - 1002. Для игнорирования этих правил вам нужно будет создать правило для особенно игнорировать его или перезаписать правило без опции alert_by_email. "

Однако я не смог найти ни одного примера для создания отдельной роли, чтобы игнорировать эту опцию. Надеюсь, вы, ребята, можете мне помочь.

Answer 1

Добавьте следующее правило в вашем/правила/local_rules.xml файл OSSEC:

Добавьте правило в нижней части файла, но убедитесь, что он находится в пределах <group> тега.

<group> 
    ... 
    .. 
    ... 

    <rule id="1002" level="2" overwrite="yes"> 
     <options>no_email_alert</options> 
     <description>Unknown problem somewhere in the system.</description> 
    </rule> 
</group> 

Это остановит отправку оповещений по электронной почте о правилах ид = 1002