J'ecrit actuellement un programme qui manipule
de l'IDMEF et je suis confronte a un probleme
de comprehension.
Le document que j'utilise est un draft de l'IETF,
disponible ici :
http://www.silicondefense.com/idwg/draft-ietf-idwg-idmef-xml-07.txt
Mon probleme est a propos des identifiants uniques (attribut "ident")
de certainnes classes IDMEF.
Page 25 du document, il est ecrit :
2. The Alert, Heartbeat, Source, Target, Node, User, Process,
Service, File, Address, and UserId classes (...) "ident" attribute, if specified, MUST have a value that is unique across all messages.
^^^^^^^^^^^^^^^^^^^
Plusieurs comprehension me parraissent possibles :
1/ Pour chaque classe, pour chaque message, il faut generer un nouvel
identifiant. (il change donc tout le temps, je ne vois pas
d'interet)
2/ Pour chaque classe, il faut generer un identifiant unique.
Ce serait donc un identifiant de la classe, mais quel en est
l'interet ?
3/ J'ai tout faux.
Si quelqu'un pouvait m'eclairer sur ce point et m'expliquer la
politique a adopter pour generer ces identifiants ;)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Dans sa prose, creber nous ecrivait :
Mon probleme est a propos des identifiants uniques (attribut "ident") de certainnes classes IDMEF. 2. The Alert, Heartbeat, Source, Target, Node, User, Process, Service, File, Address, and UserId classes (...) "ident" attribute, if specified, MUST have a value that is unique across all messages. ^^^^^^^^^^^^^^^^^^ Plusieurs comprehension me parraissent possibles : 1/ Pour chaque classe, pour chaque message, il faut generer un nouvel identifiant. (il change donc tout le temps, je ne vois pas d'interet) 2/ Pour chaque classe, il faut generer un identifiant unique. Ce serait donc un identifiant de la classe, mais quel en est l'interet ? 3/ J'ai tout faux.
Je penche pour un mélange de la 2e et de la 3e solution, au vu de la suite du draft :
The "ident" attribute value MUST be unique for each particular combination of data identifying an object, not for each object. Objects may have more than one "ident" value associated with them. For example, an identification of a host by name would have one value, while an identification of that host by address would have another value, and an identification of that host by both name and address would have still another value. Furthermore, different analyzers may produce different values for the same information.
Ce qui veut dire que chaque message IDMEF doit être identifiable par _une combinaison unique_ des identifiants des champs qui le représentent (cf. au dessus), de manière à le rendre identifiable dans le flux de messages générés par _une_ sonde données.
Ensuite, comme chaque sonde possède elle-même son identifiant (pourvu qu'elle soit capable de générer des identifiants uniques), chaque message IDMEF du flux global est unique, parce que préfixé par le numéro de sonde (idéalement unique aussi) :
The "ident" attribute by itself provides a unique identifier only among all the "ident" values sent by a particular analyzer. But when combined with the "analyzerid" value for the analyzer, a value that is unique across the intrusion detection environment is created. Again, there is no requirement for global uniqueness.
-- BOFH excuse #48:
bad ether in the cables
Dans sa prose, creber nous ecrivait :
Mon probleme est a propos des identifiants uniques (attribut "ident") de
certainnes classes IDMEF.
2. The Alert, Heartbeat, Source, Target, Node, User, Process,
Service, File, Address, and UserId classes (...) "ident" attribute,
if specified, MUST have a value that is unique across all messages.
^^^^^^^^^^^^^^^^^^
Plusieurs comprehension me parraissent possibles :
1/ Pour chaque classe, pour chaque message, il faut generer un nouvel
identifiant. (il change donc tout le temps, je ne vois pas
d'interet)
2/ Pour chaque classe, il faut generer un identifiant unique.
Ce serait donc un identifiant de la classe, mais quel en est
l'interet ?
3/ J'ai tout faux.
Je penche pour un mélange de la 2e et de la 3e solution, au vu de la
suite du draft :
The "ident" attribute value MUST be unique for each particular
combination of data identifying an object, not for each object.
Objects may have more than one "ident" value associated with them.
For example, an identification of a host by name would have one
value, while an identification of that host by address would have
another value, and an identification of that host by both name and
address would have still another value. Furthermore, different
analyzers may produce different values for the same information.
Ce qui veut dire que chaque message IDMEF doit être identifiable par _une
combinaison unique_ des identifiants des champs qui le représentent (cf.
au dessus), de manière à le rendre identifiable dans le flux de messages
générés par _une_ sonde données.
Ensuite, comme chaque sonde possède elle-même son identifiant (pourvu
qu'elle soit capable de générer des identifiants uniques), chaque
message IDMEF du flux global est unique, parce que préfixé par le
numéro de sonde (idéalement unique aussi) :
The "ident" attribute by itself provides a unique identifier only
among all the "ident" values sent by a particular analyzer. But
when combined with the "analyzerid" value for the analyzer, a value
that is unique across the intrusion detection environment is
created. Again, there is no requirement for global uniqueness.
Mon probleme est a propos des identifiants uniques (attribut "ident") de certainnes classes IDMEF. 2. The Alert, Heartbeat, Source, Target, Node, User, Process, Service, File, Address, and UserId classes (...) "ident" attribute, if specified, MUST have a value that is unique across all messages. ^^^^^^^^^^^^^^^^^^ Plusieurs comprehension me parraissent possibles : 1/ Pour chaque classe, pour chaque message, il faut generer un nouvel identifiant. (il change donc tout le temps, je ne vois pas d'interet) 2/ Pour chaque classe, il faut generer un identifiant unique. Ce serait donc un identifiant de la classe, mais quel en est l'interet ? 3/ J'ai tout faux.
Je penche pour un mélange de la 2e et de la 3e solution, au vu de la suite du draft :
The "ident" attribute value MUST be unique for each particular combination of data identifying an object, not for each object. Objects may have more than one "ident" value associated with them. For example, an identification of a host by name would have one value, while an identification of that host by address would have another value, and an identification of that host by both name and address would have still another value. Furthermore, different analyzers may produce different values for the same information.
Ce qui veut dire que chaque message IDMEF doit être identifiable par _une combinaison unique_ des identifiants des champs qui le représentent (cf. au dessus), de manière à le rendre identifiable dans le flux de messages générés par _une_ sonde données.
Ensuite, comme chaque sonde possède elle-même son identifiant (pourvu qu'elle soit capable de générer des identifiants uniques), chaque message IDMEF du flux global est unique, parce que préfixé par le numéro de sonde (idéalement unique aussi) :
The "ident" attribute by itself provides a unique identifier only among all the "ident" values sent by a particular analyzer. But when combined with the "analyzerid" value for the analyzer, a value that is unique across the intrusion detection environment is created. Again, there is no requirement for global uniqueness.
