Para el análisis de registros, OSSEC tiene algunos archivos con reglas específicas de MS diseñadas para extraer eventos de seguridad interesantes. Para ver las reglas individuales uno puede leer estos archivos:
[/ var / ossec / rules] # ls -l ms *
-r-xr-x --- 1 raíz ossec 31423 sep 7 2010 msauth_rules.xml
-r-xr-x --- 1 raíz ossec 11978 7 de septiembre de 2010 ms_dhcp_rules.xml
-r-xr-x --- 1 raíz ossec 1547 sep 7 2010 ms-exchange_rules.xml
-r-xr-x --- 1 raíz ossec 2077 sep 7 2010 ms_ftpd_rules.xml
-r-xr-x --- 1 root ossec 2190 sep 7 2010 ms-se_rules.xml
Para obtener la última copia de estos archivos de reglas, puede dirigirse a bitbucket - > enlace
(bajo Fuente - > ossec-hids / etc / rules /)