Tal como referi num post atrás um dos servidores estava a dar erros de ACPI. Como tenho um IDS instalado na máquina (ossec) de 10 em 10 minutos recebia um mail a avisar do erro. Obviamente que esta frequência de emails é muito chata e portanto tinha que arranjar uma forma de desativar o alerta por email deste erro específico.
Para desativar este alerta editamos o ficheiro local_rules.xml e adicionamos a seguinte regra:
<rule id="100101" level="0"> <if_sid>1002</if_sid> <match>ACPI Error</match> <options>no_email_alert</options> <description>Ignored messages.</description> </rule>
Basicamente o que acontece aqui é que sempre que a regra 1002 for disparada, se o alerta do log contiver a mensagem “ACPI Error” então é disparada a regra 100101 com o nível 0 e não é enviado nenhum email. A diretiva <options> serve unicamente de exemplo pois na minha configuração só são enviados alertas de email para regras de níveis superiores a 7.