ホスト拒否コマンドを使用して、600秒以上の警告レベルでIPをブロックするようにOSSEC事前対応を設定しようとしています。
<active-response>
<command>host-deny</command>
<location>local, server</location>
<level>10</level>
<timeout>3600</timeout>
</active-response>
次のコードに時間範囲を追加し、x秒以内に少なくとも600秒以上3つの警告を表示できますが、アクティビティがなくなった場合はy秒後にブロックを解除できます。
また、グローバル構成ではなくサーバーのローカル構成で特定のIPをホワイトリストに追加できますか?