Можно ли включить / отключить правила удаленно с сервера Wazuh?

Question

Можно ли включить / отключить правила удаленно с сервера Wazuh?

Я читал о централизованной конфигурации в Wazuh. Но можно ли включить / отключить правила на сервере вместо изменения на всех серверах?

1

rhel ossec

Источник

user1422000 22 июл '18 в 21:04

1 ответ

Другие вопросы по тегам rhel ossec

user1422000 22 июл '18 в 21:22 2018-07-22 21:22 · Answer 1 · 2018-07-22 21:22

Я нашел ответ здесь..

В модели ossec агенты не имеют никакой информации о правилах вообще. Итак, если вам нужно изменить правило, вам нужно сделать это на стороне сервера.

Как ты делаешь это? Если у вас есть такое правило (из нашего FAQ):

   ` <group name="local"> 
      <rule id="100101" level="0">
       <if_sid>123, 456</if_sid>
       <match>xyz</match>
      <description>Events ignored</description>
      </rule>
    </group>
`

Но вы хотите, чтобы он применялся только к одному агенту, вам нужно использовать тег "hostname", чтобы ограничить его только теми агентами, которых вы хотите:

<group name="local">
 <rule id="100101" level="0">
   <if_sid>123, 456</if_sid>
   <match>xyz</match>
   <hostname>agent1|agent2</hostname>
   <description>Events ignored</description>
 </rule>
</group>

Надеюсь, поможет.

* http://www.ossec.net/wiki/index.php/Know_How:Ignore_Rules