etc/rules/local_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/local_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Example of local rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <!-- Modify it at your will. -->
  18
  19 <group name="local,syslog,">
  20
  21   <!-- Note that rule id 5711 is defined at the ssh_rules file
  22     -  as a ssh failed login. This is just an example
  23     -  since ip 1.1.1.1 shouldn't be used anywhere.
  24     -  Level 0 means ignore.
  25     -->
  26   <rule id="100001" level="0">
  27     <if_sid>5711</if_sid>
  28     <srcip>1.1.1.1</srcip>
  29     <description>Example of rule that will ignore sshd </description>
  30     <description>failed logins from IP 1.1.1.1.</description>
  31   </rule>
  32
  33
  34   <!-- This example will ignore ssh failed logins for the user name XYZABC.
  35     -->
  36   <!--
  37   <rule id="100020" level="0">
  38     <if_sid>5711</if_sid>
  39     <user>XYZABC</user>
  40     <description>Example of rule that will ignore sshd </description>
  41     <description>failed logins for user XYZABC.</description>
  42   </rule>
  43   -->
  44
  45
  46   <!-- Specify here a list of rules to ignore. -->
  47   <!--
  48   <rule id="100030" level="0">
  49     <if_sid>12345, 23456, xyz, abc</if_sid>
  50     <description>List of rules to be ignored.</description>
  51   </rule>
  52   -->
  53
  54 </group> <!-- SYSLOG,LOCAL -->
  55
  56
  57 <!-- EOF -->