我有标准的syslog_rules.xml(OSSEC 2.6.0)。 这是不好的话在/var/log/messages
文件的标准规则:OSSEC |如何添加例外规则
<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....
我怎么可以添加或修改这条规则使用$BAD_WORDS
,但不包括auxpropfunc error
短语?也就是说,像这样:
<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>
任何想法?