<?xml version="1.0" encoding="UTF-8"?>
<idmef:IDMEF-Message version="1.0" xmlns:idmef="http://iana.org/idmef">
<idmef:Alert messageid="abc123456789">
<idmef:Analyzer analyzerid="bc-corr-01">
<idmef:Node category="dns">
<idmef:name>correlator01.example.com</idmef:name>
</idmef:Node>
</idmef:Analyzer>
<idmef:CreateTime ntpstamp="0xbc72423b.0x00000000">2000-03-09T15:31:07Z
</idmef:CreateTime>
<idmef:Source ident="a1">
<idmef:Node ident="a1-1">
<idmef:Address ident="a1-2" category="ipv4-addr">
<idmef:address>192.0.2.200</idmef:address>
</idmef:Address>
</idmef:Node>
</idmef:Source>
<idmef:Target ident="a2">
<idmef:Node ident="a2-1" category="dns">
<idmef:name>www.example.com</idmef:name>
<idmef:Address ident="a2-2" category="ipv4-addr">
<idmef:address>192.0.2.50</idmef:address>
</idmef:Address>
</idmef:Node>
<idmef:Service ident="a2-3">
<idmef:portlist>5
</idmef:portlist>
</idmef:Service>
</idmef:Target>
<idmef:Classification text="Login Authentication">
<idmef:Reference origin="vendor-specific">
<idmef:name>portscan</idmef:name>
<idmef:url>http://www.vendor.com/portscan</idmef:url>
</idmef:Reference>
</idmef:Classification>
<idmef:Assessment>
<idmef:Impact severity ="high" completion ="failed" type ="file" >
</idmef:Impact>
</idmef:Assessment>
</idmef:Alert>
</idmef:IDMEF-Message>
Je travaille avec un système de messagerie XML, où un paquet de message est lu à partir d'une file d'attente, et appliqué à une règle avec un motif. Si le motif correspond, la règle se déclenche et certains éléments, noeud, etc. du fichier XML sont lus et stockés. La définition de ce qui doit être lu dans le message est définie à l'aide de l'expression Xpath. Par exemple, le chemin x suivant prend l'attribut severity et le stocke. Nom.set (".// idmef: Classification/idmef: Assesment/idmef: Impact/@ severity", "high"); Donc, je voudrais prendre ce xpath, le compiler, et lire l'attribut serverity et le stocker pour la dernière utilisation.Comment déterminer le bon xml à écrire
Lorsque je vais créer le nouveau message XML à l'aide de la valeur stockée, il se peut que l'attribut completion et type soit obligatoire.
Donc, la question est, comment puis-je vérifier si ces attributs doivent être écrits. Je sais que ce schéma est impliqué d'une manière ou d'une autre, mais comment le faites-vous? Plus précisément, si l'utilisateur ne sélectionne que l'attribut severity, comment procéder, en ajoutant dans le reste de la structure, comme Classification, Message et autres éléments, lorsque des recherches xpath supplémentaires, par exemple à
Bob.
Ce code XML n'est pas bien formé. En manquez-vous? –
Oui, il me manque un petit peu. B –
Une idée de comment le faire John? –