OSSEC - match IP cím ÉS user, lehetséges?

Fórumok

Sziasztok,

Azt viszonylag könnyen meg tudom oldani, hogy ha egy user még ismeretlen IP címről jelentkezik be, akkor az értesítést generáljon:

http://www.ossec.net/doc/manual/rules-decoders/rule-lists.html#positive…

Lista, lookup, és hajrá. Viszont így csak egy globális adatbázisom van, az igazi pedig az lenne, ha külön-külön tudnék szűrni, joe, moe, bob, larry, stb., stb userekre, hogy ki honnét szokott bejelentkezni. Erre viszont nem találtam normális megoldást (az address_match_key_value nem az).

Nem ragaszkodom az OSSEC-hez, bár egyelőre tetszik (még úgy is hogy pl. a dovecot decoder nem igazán tuti).