Wazuh игнорирует определенного пользователя из уведомлений sudo
Я слежу за своими серверами с помощью Wazuh 4.1.x. Мои серверы — Ubuntu и CentOS. Они также контролируются с помощью агента Icinga2 и NRPE. Wazuh регистрирует все аутентификации sudo или команды, выполненные с помощью sudo (и это нормально). Но поскольку некоторые команды nrpe необходимо выполнять с помощью sudo, я бы хотел игнорировать все запросы sudo от пользователя nagios. То, что я пробовал до сих пор, это:
Я добавил пользовательскую группу и собственное правило в /var/ossec/etc/rules/local_rules.xml следующим образом:
<group name="exceptions,">
<rule id="101101" level="0">
<if_sid>5402</if_sid>
<match>sudo: nagios</match>
<description>Ignore sudo auth for nagios user</description>
<group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
<rule id="101102" level="0">
<if_sid>5402</if_sid>
<match>sudo: nrpe</match>
<description>Ignore sudo auth for nagios user</description>
<group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
</group>
5402 — это правило sudo по умолчанию от Wazuh.
В alerts.log я вижу это для sudo:
Aug 19 23:05:25 reports sudo: nrpe : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/usr/lib64/nagios/plugins/check_procs -c 1: -C nrpe
Aug 19 23:05:25 reports sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Aug 20 00:51:27 transfer sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Aug 20 00:51:27 transfer sudo: pam_unix(sudo:session): session closed for user root
** Alert 1629414327.485693326: - syslog,sudo,pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
Rule: 5402 (level 3) -> 'Successful sudo to ROOT executed.'
Aug 20 00:51:27 transfer sudo: nagios : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/usr/lib/nagios/plugins/check_procs -c 1: --ereg-argument-array=SERVER
Я не могу понять, почему не применяются правила или что я делаю неправильно. Я также искал в журналах правила 101101 или 101102, но ничего не нашел, поэтому предполагаю, что они на самом деле не применяются.
ОБНОВЛЕНИЕ: Также пробовал использовать такие правила:
<group name="exceptions,">
<rule id="101101" level="0" frequency="5" timeframe="60">
<if_matched_sid>5407</if_matched_sid>
<match> nrpe :</match>
<description>Ignore sudo auth for nagios user.</description>
<options>no_log</options>
<group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
<rule id="101102" level="0" frequency="5" timeframe="60">
<if_matched_sid>5407</if_matched_sid>
<match> nrpe : </match>
<description>Ignore sudo auth for nrpe user.</description>
<options>no_log</options>
<group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
</group>
Очевидно, правило 5402 предназначено для sudo, выполняемого пользователем root, а 5407 — для sudo, выполняемого обычным пользователем. Всё равно не работает...
То же правило применяется, если я использую<hostname>hostname</hostname>for, но это означает, что он будет игнорировать все sudo с этого хоста, а не только для пользователя nagios/nrpe .