etc/rules/smbd_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/smbd_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Official SMB rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -
  15   -  Test logs sent by: Kayvan A. Sylvan <kayvan at sylvan.com>
  16   -->
  17
  18 <!-- Still BETA -->
  19
  20 <group name="syslog,smbd,">
  21   <rule id="13100" level="0" noalert="1">
  22     <decoded_as>smbd</decoded_as>
  23     <description>Grouping for the smbd rules.</description>
  24   </rule>
  25
  26   <rule id="13101" level="0">
  27     <if_sid>13100</if_sid>
  28     <match>getpeername failed. Error was Transport endpoint</match>
  29     <description>Samba network problems.</description>
  30   </rule>
  31
  32   <rule id="13102" level="5">
  33     <if_sid>13100</if_sid>
  34     <match>Denied connection from|Connection denied from</match>
  35     <description>Samba connection denied.</description>
  36     <group>access_denied,</group>
  37   </rule>
  38
  39   <rule id="13103" level="0">
  40     <if_sid>13100</if_sid>
  41     <match>Connection reset by peer</match>
  42     <description>Samba network problems.</description>
  43   </rule>
  44
  45   <rule id="13104" level="5">
  46     <if_sid>13100</if_sid>
  47     <match>Permission denied--</match>
  48     <description>User action denied by configuration.</description>
  49     <group>access_denied,</group>
  50   </rule>
  51
  52   <rule id="13105" level="3">
  53     <if_sid>13100</if_sid>
  54     <match>Unable to connect to CUPS server</match>
  55     <description>Samba network problems (unable to connect).</description>
  56   </rule>
  57
  58   <rule id="13106" level="0" noalert="1">
  59     <decoded_as>nmbd</decoded_as>
  60   </rule>
  61
  62   <rule id="13108" level="1">
  63     <if_sid>13100</if_sid>
  64     <match>smbd is already running</match>
  65     <description>An attempt has been made to start smbd but the process is already running.</description>
  66   </rule>
  67
  68   <rule id="13109" level="1">
  69     <if_sid>13106</if_sid>
  70     <match>nmbd is already running</match>
  71     <description>An attempt has been made to start nmbd but the process is already running.</description>
  72   </rule>
  73
  74   <rule id="13110" level="2">
  75     <if_sid>13100</if_sid>
  76     <match>Connection denied from</match>
  77     <description>Connection was denied.</description>
  78   </rule>
  79
  80   <rule id="13111" level="3">
  81     <if_sid>13100</if_sid>
  82     <match>Socket is not connected</match>
  83     <description>Socket is not connected, write failed.</description>
  84   </rule>
  85
  86   <rule id="13112" level="3">
  87     <decoded_as>iptables</decoded_as>
  88     <match>gvfsd-smb</match>
  89     <regex>segfault at \S+ ip \S+ sp \S+ error \d+ in</regex>
  90     <description>Segfault in gvfs-smb.</description>
  91   </rule>
  92
  93
  94
  95 </group> <!-- SYSLOG,SMBD, -->
  96
  97
  98 <!-- EOF -->