Ossec, reglas y decoders

Después de haber conseguido que me aprueben una instalación de Ossec … empezamos a filtrar algunos mensajes.

No tengo muy claro porque aparece este error … pero el caso es que a veces sale … esta controlado y no queremos alertas …

El log en cuestión es:

“2017 Nov 20 08:19:03 SYSLOG->xxx.xxx.xxx.xxx : 2017 Nov 20 08:16:57 MST: %DAEMON-2-SYSTEM_MSG: fatal: Write failed: Broken pipe .Client is yyy.yyy.yyy.yyy, length of packet causing error 116 116 – sshd[12036]”

Es un mensaje que genera un nexus y que hace forward hacia el ossec. En este caso no lo “parsea” ningún decoder así que lo mandaba a la regla 1002 (la de “por defecto”).

Después de leer algunos docs.

http://ossec-docs.readthedocs.io/en/latest/syntax/regex.html
http://ddpbsd.blogspot.com.es/2010/10/ossec-decoders-101.html
https://groups.google.com/forum/#!topic/ossec-list/sZLr5M9g1Ok

La cosa empezaba a estar algo mas clara, lo primero … crear un decoder para que empiece a conocer el mensaje.

Editas (o creas si es la primera vez) /vas/ossec/etc/local_decoder.xml
Y defines tu decoder:

<decoder name=”switches-messages”>
<prematch>DAEMON-2-SYSTEM_MSG /prematch>
</decoder>

Con esto consigues que … cuando llegue una linea de log con el string “DAEMON-2-SYSTEM_MSG” sepa que es un “switches-messages” y a partir de aquí ya puedes crear una regla para decirle lo que tienes que hacer.

Asi que … la regla.

Editas /var/ossec/rules/local_rules.xml

Yo he creado la siguiente:

<rule id=”100040″ level=”0″>
<decoded_as>switches-messages </decoded_as>
<regex>Broken pipe </regex>
<description>Ignoring write failed from Prime </description>
</rule>

Reinicias el ossec … y lo puedes probar con /var/ossec/bin/ossec-logtest. Deberías ver que en la Phase 2 entra en tu decoder y la 3 va a tu regla … la pone en nivel 0 (que es “pasando de todo”) y listo.

Vale … es un poco “a lo bestia”, pero no necesitamos nada mas (de momento) así que … así que va a quedar.

Tags:,

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *