翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html
CDB從内部規則中查找查詢
運作CDBzai OSSEC内部規則中查詢任意字段
用例:
使用遞歸日志來檢查www.malwaredomains.com的可疑域清單
伺服器準許使用者清單
IP位址查找——在ossec規則中有大量可疑或已知的錯誤IP位址
文法清單
規則
規則将使用下面的文法來查找一個CDB資料庫。
正鍵比對
<list field="program_name" lookup="match_key">rules/records</list>
反鍵比對
<list field="program_name" lookup="not_match_key">rules/records</list>
鍵值比對
<list field="program_name" lookup="match_key_value" check_value="^reject">rules/records</list>
IP比對
<list field="srcip" lookup="address_match_key">rules/records</list>
<list field="srcip" lookup="not_address_match_key">rules/records</list>
<list field="srcip" lookup="address_match_key_value" check_value="^reject">rules/records</list>
![OSSEC Agent和Server無法連接配接的常用檢查流程[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)