WIKI sur Linux (ADB)

« LINUX:Wazuh-Décodeurs et Règles » : différence entre les versions

LINUX Discussion

LINUX:Wazuh-Décodeurs et Règles (voir la source)

Version du 3 mars 2022 à 23:26

4 octets ajoutés ,  3 mars 2022
aucun résumé des modifications
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 347 : Ligne 347 :


==Résultat de commande==
==Résultat de commande==
Cette commande "df -P" génère un ensemble de lignes pour chaque ligne précédées de "ossec: output: 'df -P': ". Chaqque ligne est analysée séparément.  
Cette commande "df -P" génère un ensemble de lignes; chaque ligne est précédée de "ossec: output: 'df -P': ". Chaqque ligne est analysée séparément.  


Voici un exemple:
Voici un exemple:
----
----
  ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      90% /disk1
  ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      91% /disk1
----
----


Ligne 363 : Ligne 363 :
  Type one log per line
  Type one log per line
   
   
  ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      90% /disk1
  ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      91% /disk1
   
   
  **Phase 1: Completed pre-decoding.
  **Phase 1: Completed pre-decoding.
         full event: 'ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      90% /disk1'
         full event: 'ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      91% /disk1'
  **Phase 2: Completed decoding.
  **Phase 2: Completed decoding.
         name: 'ossec'
         name: 'ossec'
Ligne 377 : Ligne 377 :
         mail: 'False'
         mail: 'False'
----
----
C'est la règle "530" qui réagit sans alarme.
C'est la règle "530" qui réagit mais sans alarme.




Ligne 439 : Ligne 439 :
  Type one log per line
  Type one log per line
   
   
  ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      90% /disk1
  ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      91% /disk1
   
   
  **Phase 1: Completed pre-decoding.
  **Phase 1: Completed pre-decoding.
         full event: 'ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      90% /disk1'
         full event: 'ossec: output: 'df -P': /dev/mapper/vgserverdb-lvserverdb      488143996 436452180  51691816      91% /disk1'
  **Phase 2: Completed decoding.
  **Phase 2: Completed decoding.
         name: 'ossec'
         name: 'ossec'
Récupérée de « https://www.adbweb.gslb.eu/wiki/index.php?title=Spécial:MobileDiff/2227 »