是否可以停止 wazuh 记录其自己的管理器,但仍记录安装的代理?我已经找了好几个小时了,但仍然无法解决。
我已将 Slack 集成配置为最低级别为 6 级的 Wazuh,但它会通过 Wazuh-Manager 的警报发送垃圾邮件。我想停止管理器日志,但不想停止代理日志。
干杯
您可以做的是确定要删除的内容,并创建一个自定义规则来为经理的代理删除它们。
要删除警报,您必须为要删除的警报设置自定义规则并将其级别设置为 0。
例如:
<rule id="100003" level="0"> <if_sid>12345</if_sid> <description>Rule suppression</description> </rule>
创建规则。
创建自定义规则。
要按管理器代理进行过滤,您可以使用 主机名标签。