日志审查规则

OSSEC 日志审查引擎集成在 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端中，并为 Vulnerability Protection 趋势科技服务器深度安全防护系统提供了对计算机上运行的操作系统和应用程序生成的日志和事件进行审查的功能。可将日志审查规则直接分配给计算机，或使其成为策略的一部分。与完整性监控事件类似，可以将日志审查事件配置为在 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心生成警报。

日志审查图标：

• 常规日志审查规则
• 具有配置选项的日志审查规则

在主页面上可以执行下列操作：

• 从头开始创建新的 () 日志审查规则
• 从 XML 文件导入 () 日志审查规则
• 查看或修改现有日志审查规则的属性 ()
• 复制（然后修改）现有日志审查规则 ()
• 删除日志审查规则 ()
• 将一个或多个日志审查规则导出 () 到 XML 或 CSV 文件。（单击导出... 按钮可将它们全部导出，也可以从下拉列表中进行选择，只导出选定或显示的那些内容）

单击新建 () 或属性 () 显示日志审查规则属性窗口。

常规

常规信息

日志审查规则的名称和描述，以及使该规则正常运行所需的客户端和 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的最低版本（如果该规则由趋势科技发布）。

标识

首次发布规则以及上次更新规则的日期，以及规则的唯一标识符。

内容

模板

在内容选项卡中，选择“基本规则”模板。

常规信息

输入规则 ID。规则 ID 是规则的唯一标识符。OSSEC 将 100000 - 109999 定义为用户定义规则的空间。(Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心将使用新的唯一规则 ID 来预填充该文本框。）

为规则提供一个级别。零 (0) 表示该规则从不记录事件，尽管可能触发监控该规则的其他规则。（请参阅下面的依赖关系文本框。）

还可以将该规则分配给一个或多个以逗号分隔的组。这可以在使用依赖关系时发挥作用，因为您可以创建在触发某个规则时即触发的规则或者创建属于特定组的规则。

特征码匹配

这是规则将要在日志中查找的特征码。如果匹配，将触发该规则。特征码匹配支持正则表达式或简单的字符串特征码。“字符串特征码”特征码类型比 RegEx 快，但它仅支持三种特定操作：

• ^（插入符号）：指定文本的开头
• $（美元符号）：指定文本的结尾
• |（管道符）：在多个特征码之间创建 "OR"

复合

频率是指触发规则前在指定的时间帧内必须匹配的次数。

时间帧是一个时间段（以秒为单位），在该时间段内，规则必须触发一定的次数（上述频率）才能记录事件。

关联

设置对其他规则的依赖关系将导致在触发本区域中指定的规则时，您的规则仅记录事件。

文件

键入规则要监控的文件的完整路径并指定文件的类型。

选项

警报

选择此规则是否在 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中触发警报。

仅在规则中写入了“多个规则”时才使用“警报最低严重性”设置（如果使用“基本”模板，可能无法执行某些操作）。但是，如果在使用“基本”模板创建规则后，编辑规则的 XML 并向具有不同严重性级别的 XML 中添加其他规则，则可以使用“警报最低严重性级别”下拉菜单设置要触发警报的多个规则的最低严重性。

已分配给

列出要使用此日志审查规则的安全配置文件或计算机。

建议

可以将 Vulnerability Protection 趋势科技服务器深度安全防护系统配置为执行定期“漏洞扫描 (推荐设置)”，“漏洞扫描 (推荐设置)”会扫描计算机，并对各种安全规则的应用提供建议。选中该复选框将会将建议的日志审查规则自动分配给计算机，并自动取消分配不需要的规则。

要打开或关闭建议引擎，请转至策略/计算机编辑器 > 设置 > 扫描。