中东欧概要文件规范1.0 beta1

1. 介绍
2. 中东欧概要文件规范
   1. 父配置文件引用
   2. 规范的URI
   3. 领域词典
   4. 事件分类
3. 中东欧核心配置文件
   1. 版本控制
   2. 核心领域词典
   3. 核心分类
4. 中东欧在XML模式
   1. 结构
   2. 验证
5. 附录1:中东欧概要文件模板
   1. 介绍
   2. 领域词典
   3. 分类

1介绍

中东欧概要文件规范允许感兴趣的社区,产品供应商,和监管机构发布一个共享的词汇用于事件日志记录。这个共享词汇表(中东欧概要文件)可以采用生产、消费和分析中东欧事件记录,保证一致的词汇。

2中东欧概要文件规范

中东欧概要文件规范定义了事件的方法来描述一个类。每个中东欧概要文件包括:

1. 引用父配置文件
2. 规范URI用于识别它
3. 一个领域词典标准化字段名称和数据类型
4. 一个分类标准化的分类

因为中东欧既支持XML和JSONCLS语法中东欧概要文件不需要一种编码格式。这样一个概要文件的默认形式符合文档只是一个文本文档需求下面的模板(附录1)[]。然而,如果组织希望验证事件对一个概要文件或接受一个机器可读的资料他们可能采用XML CLS编码和相关的中东欧概要XSD格式这样做。中东欧的未来版本可能会发布一个开源配置文件验证器JSON的语法,但是对于这个版本建议用户需要验证使用XML格式。

常见的格式来描述事件的能力意味着个人感兴趣的社区可以开发一套共享的领域,数据类型、值和分类的事件相关的社区。中东欧本身提供了一个核心中东欧概要和领域词典分类适合报道事件在许多应用程序类型(操作系统、web应用程序、网络设备等)。所有其他中东欧概要文件必须直接或间接地扩展核心与中东欧中东欧配置文件,以确保兼容性。

中东欧概要文件要求

1. 中东欧概要(中东欧核心配置文件除外)应继承中东欧核心配置文件,包括所有字段,分类方面,和数据类型。
2. 中东欧概要文件可以定义低氮附加字段和值
3. 中东欧概要文件可以定义低氮额外分类方面
4. 中东欧概要文件不得定义额外的数据类型。数据类型可以建议一个概要文件但不规范事件的实现这个概要文件
5. 中东欧概要文件必须指定一个标准URI引用每个概要文件类型(可读,XML模式)。
6. 规范化URI应该resolveable URL配置文件本身。

2.1父配置文件引用

概要,包括显式引用父配置文件继承领域词典,分类,和事件类的父配置文件。配置文件不包括显式引用父配置文件有一个隐式引用最新版本的中东欧核心配置文件,因此继承领域词典和分类法。

2.2规范的URI

一个概要文件的规范化URI是机制用来确定它在其他中东欧概要文件和中东欧事件本身。因此,一旦概要文件发布和定义的URI URI不应该被改变,除非概要文件的变化。如果这个概要文件的变化,由于版本或其他一些原因,URI应该改变。URI的最佳实践,以确保一致性和变更控制是包括在URI概要文件版本号,如“http://example.com/cee-profile/1.1”。

如果一个配置文件是作为文本配置文件和出版作为一个XSD文件,必须相同的URI当且仅当两个版本具有相同的语义。如果是这样的话,resolveable URL被用作这个概要文件的URI, URL应该解决文本配置文件(可以参考XSD文件)。

2.3领域词典

领域词典是一个列表的字段和数据类型可以用来描述事件。字典中的每个字段包含一个字段标识符、字段类型,该字段是可选的还是必需的。

2.3.1字段标识符

字段标识符是不分大小写和等级结构的零个或多个上下文对象和识别领域的名字。(即字段标识符。,对象和的名字组件)必须只包含ASCII字母数字和小写字母_(下划线)字符:(0-9a-z_) +。

字段名,有一个上下文对象应该表示为分离点(.)当显示之外的一个支持(CLS编码)(CLS)。这是众所周知的嵌入式领域的语法。例如,ipv4字段src对象可以表示为src.ipv4。这种模式是很多常见的编程语言,包括Java、c++和Javascript。

2.3.2字段类型

除了一个字段标识符,每个字段的字段字典必须指定数据类型指定字段的值是如何表示的。如果没有类型限制,字符串应该使用类型。字段类型必须引用一个有效的中东欧数据类型,这个列表以外的数据类型不能被使用。有效的数据类型是:

1. 字符串:零个或多个utf - 8编码的Unicode字符序列
2. bool:一个布尔值真正的或假
3. 数量:一个整数或浮点数值。数量值可以积极或消极的,可能用科学记数法。
4. 零:一个空的或零价值。
5. datetime:Datetime值代表时间戳和允许完整规范的时间毫秒,包括时区UTC补偿。如果没有提供时区信息,必须假定datetime UTC。首选的表示格式datetime中定义的格式ISO8601。
6. ipv4:IPv4值用来表示IPv4网络地址。首选是使用十进制格式字符串表示:10.10.0.2,128.0.0.1
7. ipv6:IPv6值表示IPv6网络地址。IPv6地址的首选格式是标准hex-colon符号和批准所有的缩写格式(例如,::)。
8. 对象:对象值由额外的结构化数据表示为一个名称-值对序列。

2.4事件分类

事件分类用于分类一个事件在零个或多个方面(类别)。这个分类是用来理解类型事件,而领域词典中的字段用于指定特定的数据点对一个事件。领域词典相比,当一个事件可能有多个单个字段的值,一个事件可能只有一个值中的每个字段事件分类。

事件方面非常类似于字段在字典用以下限制:

• 事件方面应当有效的标识符字段标识符。
• 事件方面应当枚举限制数据类型字符串。
• 事件方面定义必须指定至少一个可能值。

概要文件可以添加额外的事件分类方面但不能添加额外的现有值方面,继承了配置文件中定义。

3中东欧核心配置文件

中东欧核心配置文件是一个中东欧的概要文件提供了一个领域词典和分类适合报道公共事件类型作为其他配置文件提供一个基础与常见的领域和建立的分类类别。

可以在当前中东欧核心配置文件cee.mitre.org。

3.1版本

核心配置文件是分开发布和版本化中东欧规范。中东欧的版本化政策核心配置文件:

1. 的一组数据类型发表在《中东欧核心配置文件不得改变,除非中东欧规范本身版本
2. 设置所需的字段和数据类型不得改变,除非中东欧规范本身版本
3. 可选的字段和数据类型不得改变,除非中东欧规范本身版本
4. 另外,可以添加可选的,字段不需要一个新版本的中东欧规范
5. 类别的中东欧分类法不得删除,除非中东欧规范本身版本
6. 其他类别的中东欧分类法可以添加不需要一个新版本的中东欧规范
7. 额外的分类方面中东欧分类法可以添加不需要一个新版本的中东欧规范

在一起,这个版本化政策意味着中东欧概要文件总是向后兼容的版本一起发布的最新版本中东欧规范本身。

3.1.1弃用

当一个字段,分类,分类类别,或事件类必须从核心配置文件中删除它将经历一个弃用阶段每中东欧版本控制政策弃用的规则。

3.2核心领域词典

字典是中东欧字段的字段和值列表中东欧提供跨事件报告使用的社区。从概念上讲,它包含一组核心的必填字段(可看作一个事件标题)必须出现在所有的中东欧事件记录和一组可选的字段,可以用于任何事件报告。领域词典文档,因此是一个不断发展的版本分别从核心中东欧规范(包括CLS和解释水平理论规范)。

为了确保字段是有用的在许多产品和切实规范事件的报道,该领域的各个领域词典和分类方面必须符合以下要求:

1. 字段必须符合上述规范命名和嵌套。
2. 字段不能特定于某个供应商或产品。来自不同供应商的不同的应用程序,执行相同的功能应该使用相同的字段在字典里报告信息,所以领域特定应用程序或供应商应该推广。即使只有一个供应商或应用程序报告信息字段名将广义允许为未来进入者使用。
3. 字段必须共同到足以包容。字段不常见的或通用将不包括在内。

中东欧核心配置文件指定三个头字段需要在所有中东欧事件:

这些头字段不得改变,除非中东欧规范本身的变化。

一个un-encoded中东欧头将的例子:

主持人:hosta.example.com pname: sys时间:2012 - 04 - 15 - t07:39:21.5438凌晨

minimally-valid中东欧事件仅仅是三头字段如上所示。任何生产者创造一个中东欧事件必须包括上述领域,与准确值,记录。

除了头字段,核心配置文件定义了附加字段的列表,可以使用在所有中东欧事件。这些字段在传达信息时应使用匹配的定义。或将更简单,字段从核心配置文件必须使用而不是重新定义这些字段在一个自定义配置文件或创建一个事件记录时使用自定义名称。例如,在报告一个主机名主机领域的核心配置文件必须使用,而不是创建一个新的字段在一个概要文件主机名。

中东欧字典中的字段是中东欧社区开发的最终批准的中东欧。建议可能提交给cee-discussion-list;请包括字段名、数据类型、描述和一个理由为什么字段应包含在词典中每个字段被提出。此外,前请确保满足上述需求显示字段。

官方的中东欧领域词典位于中东欧核心配置文件:核心配置文件领域词典。

3.3核心分类

核心分类(分类)是一组方面是有效的事件分类对于每一个方面,可能可以使用的标签值。类别和允许标签值由中东欧社会与中东欧委员会最终批准。建议可能提交给cee-discussion-list;请包括一个用例每个变更的理由。

官方的中东欧分类法位于中东欧核心配置文件:核心配置文件分类。

4中东欧概要文件在XML模式

尽管中东欧概要文件语言不可知论者,可以轻易在JSON, XML提供了额外的验证功能通过XML模式,可以用来验证事件对扩展配置文件。本节描述如何表示一个中东欧概要文件使用XML模式的一个子集。

4.1结构

中东欧的概要文件中表示XML模式必须符合XML模式规范。此外,他们可能不定义任何结构除了如下解释定义领域词典和分类。

注意,除了下面的限制,在XSD中东欧概要文件必须符合通用概要文件要求字段标识符命名,字段类型,分类按照相关规范。

名称空间为中东欧Profile字段和分类方面http://cee.mitre.org/1.0/profile。这一定是作为模式的名称空间和targetNamespace。通过中东欧名称空间引用类型,http://cee.mitre.org/1.0。

以下4.4.1继承

继承自另一个配置文件,使用一个包括元素的引用资料的模式。有且只有一个包括允许,必须参考的中东欧核心模式或其他扩展模式。这将包括扩展的领域词典和分类模式。

直接或间接引用的中东欧核心配置文件,通过扩展,包括核心中东欧模式。

4.1.2领域词典

词典是描述使用元素元素的XML模式。总体结构的字段,没有上下文对象是:

< xs:元素的名字=”# # # # # #字段标识符”类型=”# # # # # #字段类型”/ >

字段标识符包含一样在中东欧概要文件。

中东欧的字段类型导入命名空间来自下面的映射:

字段描述,这是可选的,可以放置在一个标准的XML模式注释/文档块。

字段与上下文对象

所有字段具有相同上下文对象表示下一个元素的对象。上下文对象本身使用以下格式:

< xs:元素的名字=”# # # # # #上下文对象标识符”块=”#所有”最后=”#所有”>< xs: complexType >< xs: complexContent >< xs:扩展基地=”ObjectField”>< xs:序列maxOccurs=”无限”minOccurs=”1”>…< xs: sequence >> < / xs:扩展< / xs: complexContent >< xs: complexType >< / xs: element >

的名字放在上下文对象的名字字段描述符的元素。列出了上下文对象字段,如上所述,在序列元素。标准XML模式注释/文档元素可以用来描述上下文对象。

4.1.3分类法

创建一个额外的类别对事件进行分类,使用以下模板:

< xs:元素的名字=”# # # # # #类别标识符”>< xs: simpleType >< xs:联盟>< xs: simpleType >< xs:限制基地=”中东欧:tag_ext”/ >< xs:限制基地=”中东欧:标签”>< xs:枚举价值=”# # # # # #类别值”/ >> < / xs:限制< / xs: simpleType >< / xs:联盟>< / xs: simpleType >< / xs: element >

被放置在类别标识符元素的的名字虽然每个值是放置在一个属性枚举在第二个限制元素。

4.2验证

验证对配置文件是完成简单的通过验证单个事件(根元素:事件)或一个事件列表(根元素:中东欧)对概要文件。

5附录1:中东欧概要文件模板

下面的模板发布中东欧概要文件提供了一个起点。

5.1介绍

模式的目的和受众的信息应该在这里。如果父配置文件不是中东欧核心配置文件的名称和URI的父配置文件应该包含在这里。

它也将有助于规范列表这个概要文件的URI,如果适用,概要文件的位置XSD。

5.2领域词典

5.3分类

5.3.1分类1

解释你将使用这个分类。如果这是一个扩展的分类继承概要文件名称必须完全匹配。下面的列表值可能为这个分类应列出在一起时应该使用他们的意思。

值1

解释值1

回到顶部

页面最后更新:2013年3月18日