翻譯：http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html

規則分類（級別）

這些規則被分為多個級別。從最低的(00)到最大的15。有些級別現在還沒有使用。其他級別可以在它們之間或之後新增。


這些規則將從最高到最低的級別進行讀取。


00 - 忽略 - 沒有采取行動。用於避免誤報。這些規則在其他所有的規則之前被掃描。它們包括沒有安全相關性的事件。


01 - 無 -


02 - 系統低優先順序通知 - 系統通知或狀態訊息。它們沒有安全關聯。


03 - 成功/授權事件 - 包括成功的登入嘗試，防火牆允許事件等等。


04 - 系統低優先順序錯誤 - 錯誤配置或未使用裝置/應用程式的錯誤。它們與安全性無關，通常是由預設安裝或軟體測試引起的。


05 - 使用者生成的錯誤 - 它們包括未被使用的密碼，被拒絕的行為等等，它們本身並沒有安全關聯.


06 - 攻擊低的相關性 - 它們指出了一個蠕蟲或病毒對系統沒有任何影響(比如apache伺服器的紅色程式碼等等)。它們還包括頻繁的IDS事件和頻繁的錯誤。


07 - “壞詞”匹配. 這些事件包括“壞”、“錯誤”等，這些事件大部分時間都是不保密的，可能與安全有關。


08 - 首次遇見 - 包括第一次看到的事件。第一次啟動IDS事件，或者第一次使用者登入。如果您剛剛開始使用OSSEC HIDS，這些訊息可能會頻繁出現。在一段時間之後，他們應該離開，它還包含了安全相關的操作(比如嗅探器的啟動或類似的操作)。


09 - 錯誤無效的來源 - 包括嘗試以未知使用者身份登入或從無效源登入。可能有安全相關性(特別是重複的)。它們還包括關於“admin”(root)帳戶的錯誤。


10 - 多個使用者生成的錯誤 - 它們包括多個糟糕的密碼、多次失敗的登入等等。它們可能表明了攻擊，或者可能只是使用者忘記了他的credencials。


11 - 完整性檢查的警告 - 它們包括關於二進位制檔案的修改或rootkit(由rootcheck)的存在的訊息。如果您只是修改了系統配置，那麼您關注完整性檢查。它們可能預示著一次成功的攻擊。還包括將被忽略的IDS事件(大量重複的事件)。


12 - 高重要性的事件 - 它們包括來自系統、核心等的錯誤或警告訊息，它們可能指示針對某個特定應用程式的攻擊。


13 - 不尋常的錯誤(非常重要) - 大多數情況下，它與常見的攻擊模式相匹配。


14 - 高度重視安全事件。大多數時候都是用相關性做的，這表明了攻擊。


15 - 嚴重的攻擊 - 沒有誤報的機會。及時關注是必要的。


規則組
我們可以為特定的規則指定組。它被用於積極響應的原因和相關性。
我們目前已有的規則組:
invalid_login
authentication_success
authentication_failed
connection_attempt
attacks
adduser
sshd
ids
firewall
squid
apache
syslog