Dans IDMEF V1, la classe "ToolAlert" est prévue pour ça. Elle contient les attributs suivants :

• name - indique le nom de l'outil/logiciel
• command - la commande executée
• alertident - les ID des alertes liées à cet outil/logiciel

Dans IDMEF V2, cette classe est supprimée. Nous la trouvions "trop haute" dans l'arborescence d'IDMEF. En effet, la classe n'était pas liée à une alerte en particulier, et devait référencer celle-ci.
A la place, nous suggérons d'utiliser la classe "Process", existante dans IDMEF V1 et toujours présente dans IDMEF V2, liée à la source de l'alerte. Ces attributs sont les suivants :

• name - indique le nom du processus du logiciel/outil étant la source de l'alerte
• pid - l'id du processus (si disponible)
• tid - l'id du thread (si disponible)
• path - le chemin complet où se trouve l'application (si disponible)
• arg - les arguments passée à l'exécution du logiciel/outil (si disponible)
• env - les variables d'environnement accompagnant le processus (de la forme VARIABLE=valeur) (si disponible)
• ident - un identifiant unique propre à l'implémentation

Nous sommes évidemment ouverts aux suggestions, il est tout à fait possible d'échanger sur l'arborescence des classes et de leurs attributs.