debian/ossec-hids/var/ossec/rules/openbsd-dhcpd_rules.xml

   1 <!-- OpenBSD dhcpd -->
   2 <!--
   3 Aug 10 09:45:28 junction dhcpd[2042]: DHCPREQUEST for 192.168.17.154 from b4:b5:2f:15:4c:ec via sk0
   4 Aug 10 09:45:28 junction dhcpd[2042]: DHCPACK on 192.168.17.154 to b4:b5:2f:15:4c:ec via sk0
   5 -->
   6
   7 <group name="syslog,dhcpd,">
   8   <rule id="53000" level="0">
   9     <decoded_as>dhcpd</decoded_as>
  10     <description>dhcpd grouping.</description>
  11   </rule>
  12
  13   <rule id="53001" level="1">
  14     <if_sid>53000</if_sid>
  15     <match>^DHCPREQUEST|^DHCPOFFER |^DHCPDISCOVER|^DHCPACK</match>
  16     <description>Normal dhcp.</description>
  17   </rule>
  18
  19   <rule id="53003" level="5">
  20     <if_sid>53000</if_sid>
  21     <match>answers a ping after sending a release|Possible release spoof</match>
  22     <description>A host issued a release but is responding to pings.</description>
  23   </rule>
  24
  25   <rule id="53004" level="1">
  26     <if_sid>53000</if_sid>
  27     <match>expecting left brace.$|</match>
  28     <match>fixed-address parameter not allowed here.$|</match>
  29     <match>parameters not allowed after first declaration.$|</match>
  30     <match>Configuration file errors encountered</match>
  31     <description>Configuration errors.</description>
  32   </rule>
  33
  34   <rule id="53005" level="3">
  35     <if_sid>53000</if_sid>
  36     <match>exiting.$</match>
  37     <description>dhcpd is exiting.</description>
  38   </rule>
  39
  40   <rule id="53006" level="1">
  41     <if_sid>53000</if_sid>
  42     <match>Can't listen on </match>
  43     <description>dhcpd cannot listen to an interface.</description>
  44   </rule>
  45
  46   <rule id="53007" level="1">
  47     <if_sid>53006</if_sid>
  48     <match>has no subnet declaration for</match>
  49     <description>dhcpd is not configured to listen to an interface.</description>
  50   </rule>
  51
  52   <rule id="53008" level="1">
  53     <if_sid>53000</if_sid>
  54     <match>Listening on </match>
  55     <description>dhcpd has been started.</description>
  56   </rule>
  57
  58   <rule id="53009" level="0">
  59     <if_sid>53000</if_sid>
  60     <match>^Address range </match>
  61     <description>Message with address range.</description>
  62   </rule>
  63
  64   <rule id="53010" level="2">
  65     <if_sid>53009</if_sid>
  66     <match> not on net </match>
  67     <description>Defined address range is not on the configured network.</description>
  68   </rule>
  69
  70   <rule id="53011" level="7">
  71     <if_sid>53000</if_sid>
  72     <match>^no free leases</match>
  73     <description>DHCP server has run out of leases.</description>
  74   </rule>
  75
  76   <rule id="53013" level="2">
  77     <if_sid>53000</if_sid>
  78     <match>^already acking lease </match>
  79     <description>Multiple acks.</description>
  80   </rule>
  81
  82
  83 </group>
  84