我已经阅读了Wazuh中的集中式配置。但是,可以在服务器中启用/禁用规则,而不是在所有服务器中更改规则吗?
我在这里找到了答案。。
在ossec模型中,代理没有关于规则的信息不管怎样所以,如果你需要修改一个规则,你需要在服务器端进行修改。
你是怎么做到的?如果你有这样的规则(来自我们的常见问题解答(:
` <group name="local">
<rule id="100101" level="0">
<if_sid>123, 456</if_sid>
<match>xyz</match>
<description>Events ignored</description>
</rule>
</group>
`
但是您只希望它应用于一个代理,您需要使用"hostname"标记将其限制为您想要的代理:
<group name="local">
<rule id="100101" level="0">
<if_sid>123, 456</if_sid>
<match>xyz</match>
<hostname>agent1|agent2</hostname>
<description>Events ignored</description>
</rule>
</group>
希望能有所帮助。
*http://www.ossec.net/wiki/index.php/Know_How:Ignore_Rules