doc: document target keyword

author Eric Leblond <eric@regit.org>

Tue, 6 Jun 2017 16:35:48 +0000 (18:35 +0200)

committer Victor Julien <victor@inliniac.net>

Mon, 12 Jun 2017 17:21:52 +0000 (19:21 +0200)
author Eric Leblond <eric@regit.org>
Tue, 6 Jun 2017 16:35:48 +0000 (18:35 +0200)
committer Victor Julien <victor@inliniac.net>
Mon, 12 Jun 2017 17:21:52 +0000 (19:21 +0200)
diff --git a/doc/userguide/rules/meta.rst b/doc/userguide/rules/meta.rst

index 7132f2dff6a32f8a46cd189c37e16dd7e6cf3878..15edb2861633ed399ec322818499a74cac94a08b 100644 (file)
--- a/doc/userguide/rules/meta.rst
+++ b/doc/userguide/rules/meta.rst
@@ -179,3 +179,20 @@ keyword because it is part of the signature language.  The format is:
  ::
  
    metadata:......;
+
+Target
+------
+
+The target keyword allows the rules writer to specify which side of the
+alert is the target of the attack. If specified, the alert event is enhanced
+to contain information about source and target.
+
+The format is:
+
+::
+
+ target: [src_ip|dest_ip]
+
+If the value is src_ip then the source IP in the generated event (src_ip
+field in JSON) is the target of the attack. If target is set to dest_ip
+then the target is the destination IP in the generated event.
author	Eric Leblond <eric@regit.org>
	Tue, 6 Jun 2017 16:35:48 +0000 (18:35 +0200)
committer	Victor Julien <victor@inliniac.net>
	Mon, 12 Jun 2017 17:21:52 +0000 (19:21 +0200)