OSSEC編寫DECODE

OSSEC編寫DECODE

OSSEC之因此產生報警，就是因爲抓到了信息後由DECODE對信息進行解碼，而後匹配規則（rule）進行相關告警產生ALERTID。
會編寫DECODE會對使用OSSEC 有很大的幫助。 
OSSEC測試命令 ossec-logtest。
這裏編寫一個簡單的規則，遇到caoqing的時候，會產生一條ALERTID爲8888嚴重度級別爲7的報警信息。
首先是建立一個規則,在/var/ossec/rule下建立一個testrule.xml內容爲：
<group name="localtest">
<rule id="8888" level="7">
  <decoded_as>caoqing</decoded_as>
  <description>testrule</description>
</rule>
</group>
編寫DECODE，在/var/ossec/etc/decoder.xml(默認安裝目錄)
<decoder name="caoqing">
  <prematch>^caoqing</prematch>
</decoder>
使用/var/ossec/bin/ossec-logtest進行測試
# /data/ossec/bin/ossec-logtest 
2014/03/19 16:28:06 ossec-testrule: INFO: Reading local decoder file.
2014/03/19 16:28:06 ossec-testrule: INFO: Started (pid: 23621).
ossec-testrule: Type one log per line.

caoqing


**Phase 1: Completed pre-decoding.
       full event: 'caoqing'
       hostname: 'kvmtest02'
       program_name: '(null)'
       log: 'caoqing'

**Phase 2: Completed decoding.
       decoder: 'caoqing'

**Phase 3: Completed filtering (rules).
       Rule id: '8888'
       Level: '7'
       Description: 'testrule'
**Alert to be generated.