用于抑制 alert_by_email 的单一 OSSEC 规则

Posted 2023-03-13

【中文标题】用于抑制 alert_by_email 的单一 OSSEC 规则

【英文标题】：Single OSSEC rule to supress alert_by_email

【发布时间】：2015-08-16 17:45:40

【问题描述】：

我试图抑制/忽略每个 OSSEC 规则的 alert_by_email 选项。文档建议如下：

“某些规则设置了一个选项来强制 OSSEC 发送警报电子邮件。此选项是 alert_by_email。这些规则之一是 1002。要忽略这些规则，您必须创建一个规则来明确忽略它，或者覆盖没有 alert_by_email 选项的规则。"

但是，我找不到任何创建单个角色以忽略该选项的示例。希望大家能帮帮我。

【参考方案1】：

在您的 ossec/rules/local_rules.xml 文件中添加以下规则：

在文件底部添加规则，但确保它在 <group> 标记内。

<group>
   ...
   ..
   ...

    <rule id="1002" level="2" overwrite="yes">
      <options>no_email_alert</options>
      <description>Unknown problem somewhere in the system.</description>
    </rule> 
</group>

这将停止发送规则 id=1002 的电子邮件警报