Éléments des fichiers de décodeurs
Éléments de décodeur supportés
| Élément de configuration | Remarques |
|---|---|
| <decoder name="..."> | Le nom du décodeur est obligatoire. |
|
<decoder name="..."> |
Permet de relier le décodeur à un décodeur de niveau supérieur. NOTE
|
| <decoder name="..."> <prematch>...</prematch> </decoder> |
Expression régulière OSSEC avancée permettant de vérifier rapidement si le décodeur convient au message de log. |
| <decoder name="..."> <prematch_pcre2>...</prematch_pcre2> </decoder> |
Expression régulière PCRE2 permettant de vérifier rapidement si le décodeur convient au message de log. |
| <decoder name="..."> <program_name>...</program_name> </decoder> |
Expression régulière OSSEC simple portant sur le champ program_name extrait en phase de prédécodage, permettant de vérifier rapidement si le décodeur convient au message de log. |
| <decoder name="..."> <program_name_pcre2>...</program_name_pcre2> </decoder> |
Expression régulière PCRE2 portant sur le champ program_name extrait en phase de prédécodage, permettant de vérifier rapidement si le décodeur convient au message de log. |
| <decoder name="..."> <regex>...</regex> <order>...</order> </decoder> |
Extraction de champs depuis le log à l’aide d’une expression régulière OSSEC avancé avec groupes de capture. SES Evolution permet d’extraire vers tout nom de champ. |
| <decoder name="..."> <pcre2>...</pcre2> <order>...</order> </decoder> |
Extraction de champs depuis le log à l’aide d’une expression régulière PCRE2 avec groupes de capture. SES Evolution permet d’extraire vers tout nom de champ. |
| <decoder name="..."> <use_own_name>...</use_own_name> </decoder> |
Permet d’écrire par la suite des règles portant sur le nom de ce décodeur lorsqu’il n’est pas au 1ᵉʳ étage. SES Evolution ignore cette option mais supporte les décodeurs de tous niveaux dans l’option decoded_as des règles. |
| <decoder name="..."> <type>...</type> </decoder> |
Permet de classifier le décodeur. Les valeurs supportées sont : firewall, ids, web-log, syslog, squid, windows, host-information et OSSEC. Les sept premières règles obligatoires (dans rules_config.xml) correspondent à tous ces types sauf host-information. |
| <decoder name="..."> <fts>…</fts> </decoder> |
Permet de stocker des n-uplets de champs dans un cache afin de voir si leurs valeurs ont déjà été observées ensemble. |
Éléments de décodeur non supportés
| Élément de configuration | Remarques |
|---|---|
| <decoder status="...> | OSSEC contient du code pour lire ce champ mais toute configuration le contenant est invalide. |
| <decoder id="..."> | OSSEC contient du code pour lire ce champ mais n’utilise pas sa valeur. |
| <decoder type="..."> | OSSEC contient du code pour lire ce champ mais n’utilise pas sa valeur. |
| <decoder name="..."> <plugin_decoder>...</plugin_decoder> </decoder> |
Permet de compiler ses propres décodeurs pour des besoins spécifiques. |
| <decoder name="..."> <accumulate/> </decoder> |
Support des logs sur plusieurs lignes avec des champs communs. |