Adicione o seguinte ao seu ´ / var / ossec / rules / local_rules.xml '.
<rule id="100001" level="10">
<if_sid>2502</if_sid>
<description>Suppress email from failed login attempts</description>
<options>no_email_alert</options>
</rule>
Desta forma, nenhum email é enviado do alerta ( <options>no_email_alert</options>
), mas ele ainda é sinalizado no nível 10 e aciona a resposta ativa apropriada.