Ossec, reglas y decoders

Después de haber conseguido que me aprueben una instalación de Ossec … empezamos a filtrar algunos mensajes.

No tengo muy claro porque aparece este error … pero el caso es que a veces sale … esta controlado y no queremos alertas …

El log en cuestión es:

«2017 Nov 20 08:19:03 SYSLOG->xxx.xxx.xxx.xxx : 2017 Nov 20 08:16:57 MST: %DAEMON-2-SYSTEM_MSG: fatal: Write failed: Broken pipe .Client is yyy.yyy.yyy.yyy, length of packet causing error 116 116 – sshd[12036]»

Es un mensaje que genera un nexus y que hace forward hacia el ossec. En este caso no lo «parsea» ningún decoder así que lo mandaba a la regla 1002 (la de «por defecto»).

Después de leer algunos docs.

http://ossec-docs.readthedocs.io/en/latest/syntax/regex.html
http://ddpbsd.blogspot.com.es/2010/10/ossec-decoders-101.html
https://groups.google.com/forum/#!topic/ossec-list/sZLr5M9g1Ok

La cosa empezaba a estar algo mas clara, lo primero … crear un decoder para que empiece a conocer el mensaje.

Editas (o creas si es la primera vez) /vas/ossec/etc/local_decoder.xml
Y defines tu decoder:

<decoder name=»switches-messages»>
<prematch>DAEMON-2-SYSTEM_MSG /prematch>
</decoder>

Con esto consigues que … cuando llegue una linea de log con el string «DAEMON-2-SYSTEM_MSG» sepa que es un «switches-messages» y a partir de aquí ya puedes crear una regla para decirle lo que tienes que hacer.

Asi que … la regla.

Editas /var/ossec/rules/local_rules.xml

Yo he creado la siguiente:

<rule id=»100040″ level=»0″>
<decoded_as>switches-messages </decoded_as>
<regex>Broken pipe </regex>
<description>Ignoring write failed from Prime </description>
</rule>

Reinicias el ossec … y lo puedes probar con /var/ossec/bin/ossec-logtest. Deberías ver que en la Phase 2 entra en tu decoder y la 3 va a tu regla … la pone en nivel 0 (que es «pasando de todo») y listo.

Vale … es un poco «a lo bestia», pero no necesitamos nada mas (de momento) así que … así que va a quedar.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.