etc/rules/sonicwall_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/sonicwall_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Official SonicWall rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <!-- SonicWall Log messages -->
  18 <group name="syslog,sonicwall,">
  19   <rule id="4800" level="0">
  20     <decoded_as>sonicwall</decoded_as>
  21     <description>SonicWall messages grouped.</description>
  22   </rule>
  23
  24   <rule id="4801" level="8">
  25     <if_sid>4800</if_sid>
  26     <status>^1</status>
  27     <description>SonicWall critical message.</description>
  28   </rule>
  29
  30   <rule id="4802" level="8">
  31     <if_sid>4800</if_sid>
  32     <status>^2</status>
  33     <description>SonicWall critical message.</description>
  34   </rule>
  35
  36  <rule id="4803" level="4">
  37     <if_sid>4800</if_sid>
  38     <status>^3</status>
  39     <description>SonicWall error message.</description>
  40   </rule>
  41
  42   <rule id="4804" level="3">
  43     <if_sid>4800</if_sid>
  44     <status>^4</status>
  45     <description>SonicWall warning message.</description>
  46   </rule>
  47
  48   <rule id="4805" level="0">
  49     <if_sid>4800</if_sid>
  50     <status>^5</status>
  51     <description>SonicWall notice message.</description>
  52   </rule>
  53
  54   <rule id="4806" level="0">
  55     <if_sid>4800</if_sid>
  56     <status>^6</status>
  57     <description>SonicWall informational message.</description>
  58   </rule>
  59
  60   <rule id="4807" level="0">
  61     <if_sid>4800</if_sid>
  62     <status>^7</status>
  63     <description>SonicWall debug message.</description>
  64   </rule>
  65
  66   <rule id="4810" level="3">
  67     <if_sid>4806</if_sid>
  68     <id>^236$</id>
  69     <description>Firewall administrator login.</description>
  70     <group>authentication_success,</group>
  71   </rule>
  72
  73   <rule id="4811" level="9">
  74     <if_sid>4801</if_sid>
  75     <id>^30$|^32$</id>
  76     <description>Firewall authentication failure.</description>
  77     <group>authentication_failed,</group>
  78   </rule>
  79
  80   <rule id="4850" level="10" frequency="6" timeframe="120" ignore="60">
  81     <if_matched_sid>4804</if_matched_sid>
  82     <description>Multiple firewall warning messages.</description>
  83     <group>service_availability,</group>
  84   </rule>
  85
  86   <rule id="4851" level="10" frequency="6" timeframe="120" ignore="60">
  87     <if_matched_sid>4803</if_matched_sid>
  88     <description>Multiple firewall error messages.</description>
  89     <group>service_availability,</group>
  90   </rule>
  91 </group> <!-- SonicWall -->
  92
  93 <!-- EOF -->