[ossec-list] Windows excepcion rule

Andres Felipe Mejia Sanchez Wed, 25 Jul 2012 13:58:48 -0700

Hi.. im trying to make a windows exception rule, but i excluded 

1805 rule id
528 id
it works!


but i also need to exclud the logon type (5). Does any body knows how to 
exclude by logon type?

** Alert 1343249162.804628: - windows,authentication_success, 2012 Jul 25 
15:46:02 (amejia) 10.16.1.32->WinEvtLog Rule: 18107 (level 3) ->
'Windows Logon Success.' Src IP: (none) User: SERVICIO LOCAL WinEvtLog: 
Security: AUDIT_SUCCESS(528): Security: SERVICIO LOCAL: NT AUTHORITY:
AMEJIA: Inicio de sesin realizado:      Nombre de usuario:      SERVICIO LOCAL  
        Dominio:        NT AUTHORITY            Id. de inicio de sesin:         
(0x0,0x3E5) 
        *Tipo de inicio de sesin: 5*            Proceso de inicio de sesin: 
Advapi              Paquete de autenticacin: Negotiate      Nombre de estacin de
trabajo:        GUID de inicio de sesin: -

[ossec-list] Windows excepcion rule

Reply via email to