Правило OSSEC не генерирует предупреждение
Я настроил мониторинг вывода команд в файле конфигурации агента OSSEC (ossec.conf) на Windows Server 2012 R2 -
<localfile>
<log_format>command</log_format>
<command>query user</command>
<frequency>10</frequency>
В локальных правилах OSSEC Server (/var/ossec/rules/local_rules.xml) я создал это правило (в конце файла перед <!-- EOF -->) -
<group name="UserActivity">
<rule id="199999" level="12">
<regex>\d\s*\s*Active</regex>
<description>Active user on Windows server</description>
</rule>
</group>
Проблема в том, что это правило не генерирует оповещения. Я вижу результаты выполнения этой команды на сервере в архивах OSSEC (/var/ossec/logs/archives/arhives.log) -
2018 Oct 01 11:24:41 (server-1) 10.0.1.2->query user ossec: output: 'query user': srv_admin 9 Active 23 01.10.2018 11:00
Я попытался проверить правило с помощью OSSEC-LOGTEST (/var/ossec/bin/ossec-logtest), и получил этот вывод -
**Phase 1: Completed pre-decoding.
full event: '2018 Oct 01 11:24:41 (server-1) 10.0.1.2->query user ossec: output: 'query user': srv_admin 9 Active 23 01.10.2018 11:00'
hostname: '(server-1)'
program_name: '(null)'
log: '10.0.1.2->query user ossec: output: 'query user': srv_admin 9 Active 23 01.10.2018 11:00'
**Phase 2: Completed decoding.
No decoder matched.
**Phase 3: Completed filtering (rules).
Rule id: '199999'
Level: '12'
Description: 'Active user on Windows server'
**Alert to be generated.
Но я все еще не получаю уведомления об этом правиле на моем сервере системного журнала (я настроил отправку предупреждений на сервер системного журнала). Еще одно предупреждение я получаю. Также я не могу найти оповещения об этом правиле в журнале предупреждений (/var/ossec/logs/alerts/alerts.log). Где я ошибся или где проблема? Версия OSSEC Server - 2.9.4.