Great, my ignore is working...thanks for the help. <rule id="100137" level="0"> <if_sid>5701,5706,5720,5716,5720</if_sid> <srcip>10.1.1.1</srcip> <description>Ignoring all tests from our foundstone scan server 10.1.1.1</description> </rule>
On Jul 14, 1:48 pm, "dan (ddp)" <[email protected]> wrote: > [ddp@arrakis] :; grep sid /var/ossec/rules/* | grep ',' | more > ids_rules.xml: <if_sid>20100, 20101</if_sid> > ids_rules.xml: <if_sid>20100, 20101</if_sid> > mcafee_av_rules.xml: <if_sid>18101,18102,18103</if_sid> > ms-se_rules.xml: <if_sid>7711, 7712</if_sid> > msauth_rules.xml: <if_sid>18102, 18103</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18223,18203</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18203,18204</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18207,18208</if_sid> > msauth_rules.xml: <if_sid>18107,18149</if_sid> > php_rules.xml: <if_sid>31301, 30101</if_sid> > php_rules.xml: <if_sid>31301, 30101</if_sid> > php_rules.xml: <if_sid>31301, 30101</if_sid> > php_rules.xml: <if_sid>31401, 31404</if_sid> > php_rules.xml: <if_sid>31402, 31405</if_sid> > php_rules.xml: <if_sid>31403, 31406</if_sid> > pix_rules.xml: <if_sid>4330, 4331, 4332</if_sid> > postfix_rules.xml: <if_sid>3301, 3302</if_sid> > squid_rules.xml: <if_sid>35004, 35005, 35006, 35009</if_sid> > symantec-av_rules.xml: <if_sid>7300, 7301</if_sid> > symantec-av_rules.xml: <if_sid>7300, 7301</if_sid> > syslog_rules.xml: <if_sid>5303, 5304</if_sid> > syslog_rules.xml: <if_sid>2930,2931</if_sid> > syslog_rules.xml: <if_sid>2930,2931</if_sid> > syslog_rules.xml: <if_sid>2930,2931</if_sid> > web_rules.xml: <if_sid>31103, 31104, 31105</if_sid> > web_rules.xml: <if_sid>31103, 31104, 31105</if_sid> > > > > > > > > On Thu, Jul 14, 2011 at 4:46 PM, j5-hms <[email protected]> wrote: > > Can you have multiple rules defined in <if_sid>? i.e. <if_sid>5701, > > 5702, 5800</if_sid> > > > Thank you.
