debian/ossec-hids/var/ossec/rules/nsd_rules.xml

   1 <!--
   2 Aug 11 13:21:46 ix nsd[16565]: server initialization failed, nsd could not be started
   3 Aug 11 13:22:14 ix nsd[13816]: blocked.hosts:2: syntax error
   4 Aug 11 13:22:14 ix nsd[13816]: blocked.hosts:2: unrecognized RR type 'name:'
   5 Aug 12 09:01:00 junction.example.com nsd[7405]: NSTATS 1439384460 1439314258 A=1 AAAA=1
   6 Aug 12 09:01:00 junction.example.com nsd[7405]: XSTATS 1439384460 1439314258 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=2 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
   7 Dec 16 12:51:17 pine nsd[90235]: xfrd: zone example.com received error code NOT IMPL from 192.168.17.9@153
   8
   9 -->
  10
  11 <group name="syslog,dns,nsd,">
  12   <rule id="53200" level="0">
  13     <decoded_as>nsd</decoded_as>
  14     <description>NSD grouping.</description>
  15   </rule>
  16
  17   <rule id="53201" level="1">
  18     <if_sid>53200</if_sid>
  19     <match>unrecognized RR type</match>
  20     <description>Syntax error in nsd configuration.</description>
  21   </rule>
  22
  23   <rule id="53202" level="1">
  24     <decoded_as>nsd</decoded_as>
  25     <if_sid>53200</if_sid>
  26     <match>server initialization failed|syntax error$</match>
  27     <description>Syntax error in nsd configuration.</description>
  28   </rule>
  29
  30   <rule id="53203" level="0">
  31     <if_sid>53200</if_sid>
  32     <match>^NSTATS|^XSTATS</match>
  33     <description>nsd statistics</description>
  34   </rule>
  35
  36   <rule id="53204" level="2">
  37     <decoded_as>nsd</decoded_as>
  38     <match>Can't bind </match>
  39     <description>Cannot bind to a socket.</description>
  40   </rule>
  41
  42   <rule id="53205" level="2">
  43     <decoded_as>nsd</decoded_as>
  44     <match>nsd is already running</match>
  45     <description>nsd is already running.</description>
  46   </rule>
  47
  48   <rule id="53206" level="1">
  49     <decoded_as>nsd</decoded_as>
  50     <if_sid>53200</if_sid>
  51     <match>received notify response error NOT IMPL</match>
  52     <description>Notify is not implemented.</description>
  53   </rule>
  54
  55   <rule id="53207" level="1">
  56     <decoded_as>nsd</decoded_as>
  57     <if_sid>53200</if_sid>
  58     <regex>read with \d+ errors$</regex>
  59     <description>Zone file read with errors.</description>
  60   </rule>
  61
  62   <rule id="53208" level="0">
  63     <decoded_as>nsd</decoded_as>
  64     <if_sid>53200</if_sid>
  65     <match>received error code </match>
  66     <description>Error grouping.</description>
  67   </rule>
  68
  69   <rule id="53209" level="1">
  70     <decoded_as>nsd</decoded_as>
  71     <if_sid>53208</if_sid>
  72     <match>NOT IMPL </match>
  73     <description>Zone xfer not implemented.</description>
  74   </rule>
  75
  76   <rule id="53210" level="1">
  77     <if_sid>53200</if_sid>
  78     <match>tcp: Connection reset by peer$</match>
  79     <description>tcp connection reset.</description>
  80   </rule>
  81
  82   <rule id="53211" level="1">
  83     <if_sid>53200</if_sid>
  84     <match>received error code NOT IMPL</match>
  85     <description>Attempted zone transfer not configured.</description>
  86   </rule>
  87
  88   <rule id="53212" level="1">
  89     <if_sid>53208</if_sid>
  90     <match>received error code SERVER NOT AUTHORITATIVE FOR ZONE</match>
  91     <description>Server not authoritative for zone transfer.</description>
  92   </rule>
  93
  94
  95 </group>
  96
  97