Rule to ignore snap partition on HIDS events

Hi people!

I have set up OSSEC HIDS alerts on my OpenSearch, on one of my EC2 instances I have several snap partition.

This causes OSSEC to send many disk space alerts about snapshots because it does not ignore those disks.

@message
{"rule":{"level":7,"comment":"Partition usage reached 100% (disk space monitor).","sidid":531},"location":"df -P","full_log":"ossec: output: 'df -P': /dev/loop5          108416   108416         0     100% /snap/core/16091"}

How and where should I configure a rule/exception?

Thank you so much!

Temas

Sin servidor Análisis

Etiquetas

Amazon OpenSearch Service

Idioma

English

mdcravero

preguntada hace 5 meses128 visualizaciones

No hay respuestas

Más nuevo
Más votos
Más comentarios

Contenido relevante

¿Cómo puedo solucionar los errores «Container killed on request. Exit code is 137» en Spark en Amazon EMR?
OFICIAL DE AWSActualizada hace 2 años
Se canceló My Spot Instance. ¿Puedo recuperarlo?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo resolver el error “You have exceeded the allowed number of AWS accounts” (Ha superado el número permitido de cuentas de AWS) en AWS Organizations?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo solucionar el error «Your current user or role does not have access to Kubernetes objects on this EKS cluster» en Amazon EKS?
OFICIAL DE AWSActualizada hace un año