OSSEC HIDS не может игнорировать правила, основанные на имени хоста
Я пытаюсь игнорировать правило ossec для оповещения, которое запускается с определенного хоста. Правило 5401 существует в файле syslog_rules.xml:
<rule id="5401" level="10">
<if_sid>5400</if_sid>
<match>3 incorrect password attempts</match>
<description>Three failed attempts to run sudo</description>
</rule>
Если это правило срабатывает, генерируется уровень оповещения уровня 10 вместе с электронным письмом
Я хочу добавить исключение к этому правилу в файле local_rules.xml, где, если имя хоста, отправляющее предупреждение, - ip-10-XX-XX-XX, оповещение по электронной почте не будет генерироваться. Мне удалось создать это правило в local_rules.xml:
<rule id="10040" level="0">
<if_sid>5401</if_sid>
<match>myUserName</match>
<description>List of rules to be ignored.</description>
</rule>
И когда myUserName запускает правило 5401, оповещение не генерируется. Согласно документации ossec, я должен иметь возможность заменить аргумент соответствия следующим:
<hostname>ip-10-XX-XX-XX</hostname>
Однако это не удалось, и по-прежнему генерируется уведомление по электронной почте, когда я запускаю правило 5401