+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Energy Logserver - SIEM Plan (https://monitoringserwerow.pl/forumdisplay.php?fid=21)
+--- Thread: wazuh pytanie (/showthread.php?tid=86)
wazuh pytanie - adamwolny - 04-16-2020
Co zrobić jeżeli w wazuh chciałbym zmienić istniejąca regułę tzn np żeby zdarzenie Multiple zachodziło dla 6 błędnych logowań anie dla 8? Czy należy edytować plik w folderze "/var/ossec/ruleset/rules/..." ?
RE: wazuh pytanie - WojciechG - 04-17-2020
Aby uniknąć ewentualnych problemów przy aktualizacji i zachować przejrzystość przy kolejnych zmianach należy skopiować interesującą nas regułę do pliku /var/ossec/etc/rules/local_rules.xml dokonać edycji reguły oraz dodać overwrite="yes" w linii z rule id.
Zgodnie z dokumentacją:
https://documentation.wazuh.com/3.12/learning-wazuh/replace-stock-rule.html