【发布时间】:2018-07-22 21:04:49
【问题描述】:
我已阅读 Wazuh 中的 Centralized 配置。 但是可以在服务器中启用/禁用规则而不是在所有服务器中更改吗?
【问题讨论】:
【发布时间】:2018-07-22 21:04:49
【问题描述】:
我找到了答案here..
在 ossec 模型中,代理没有关于规则的信息 任何。因此,如果 你需要修改一个规则,你需要在服务器端做。
你是怎么做到的?如果您有这样的规则(来自我们的常见问题解答):
` <group name="local">
<rule id="100101" level="0">
<if_sid>123, 456</if_sid>
<match>xyz</match>
<description>Events ignored</description>
</rule>
</group>
`
但你只希望它适用于一个代理,你需要使用“主机名”标签 将其限制为您想要的代理:
<group name="local">
<rule id="100101" level="0">
<if_sid>123, 456</if_sid>
<match>xyz</match>
<hostname>agent1|agent2</hostname>
<description>Events ignored</description>
</rule>
</group>
希望对你有帮助。
【讨论】: