Linux-Audit- und AIX-Systemprotokolle erfassen
Dieser Parser verarbeitet Linux-Audit-Logs im SYSLOG-Format und wandelt sie in UDM um. Es verarbeitet sowohl JSON-formatierte als auch reinen Text in Lognachrichten. Dabei werden Felder mithilfe von Grok, XML- und JSON-Parsing-Techniken extrahiert und basierend auf dem Ereignistyp den entsprechenden UDM-Feldern zugeordnet. Der Parser verarbeitet auch bestimmte Protokollformate von AIX-Systemen und ergänzt das UDM um zusätzliche Felder wie security_result
und Zwischendetails.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie benötigen Root-Zugriff auf den Auditd-Host.
- Prüfen Sie, ob Sie rsyslog auf dem Auditd-Host installiert haben.
- Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yaml
so:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: auditd raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Starten Sie den BindPlane-Agent mit dem folgenden Befehl neu, um die Änderungen anzuwenden:
sudo systemctl bindplane restart
Syslog aus Auditd exportieren
- Rufen Sie den Computer auf, von dem Sie Audit-Logs exportieren möchten.
Öffnen Sie die Auditd-Konfigurationsdatei (normalerweise unter
/etc/audit/auditd.conf
).sudo vi /etc/audit/auditd.conf
Suchen Sie nach den folgenden Zeilen oder fügen Sie sie hinzu, um auditd zu konfigurieren:
active = yes output = syslog log_format = ENRICHED dispatcher = /sbin/audispd
Optional: Syslog-Einrichtung angeben: Fügen Sie in auditd.conf
die folgende Zeile hinzu oder ändern Sie sie:
```none
syslog_facility = LOG_AUTHPRIV
```
Öffne die Konfigurationsdatei von audispd (normalerweise unter
/etc/audisp/plugins.d/syslog.conf
):sudo vi /etc/audisp/plugins.d/syslog.conf
Suchen Sie nach den folgenden Zeilen oder fügen Sie sie hinzu, um audispd zu konfigurieren:
active = yes direction = out path = builtin_syslog type = builtin args = LOG_INFO format = string
Starten Sie den Auditd-Dienst neu, um die Änderungen anzuwenden:
sudo systemctl restart auditd
Verwenden Sie ein Tool wie
tail
, um das Syslog zu überwachen und zu prüfen, ob Auditd-Protokolle gesendet werden:tail -f /var/log/syslog | grep auditd # Follow syslog and filter for auditd messages (path may vary depending on your system)
Bearbeiten Sie die
rsyslog.conf
oder erstellen Sie eine benutzerdefinierte Konfiguration:sudo vi /etc/rsyslog.d/50-audit-forwarding.conf
Fügen Sie eine Regel zum Weiterleiten von Protokollen hinzu:
if $programname == 'auditd' then @@<BindPlane_Agent>:<BindPlane_Port>
- Verwenden Sie
@
für UDP oder@@
für TCP. - Ersetzen Sie
<BindPlane_Agent>
durch die IP-Adresse oder den Hostnamen Ihres Servers. - Ersetzen Sie
<BindPlane_Port>
durch den Port Ihres Servers.
Starten Sie den rsyslog-Dienst neu, um die Änderungen anzuwenden:
sudo systemctl restart rsyslog
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
acct |
target.user.user_display_name |
Der Wert von acct aus dem Rohprotokoll wird dem Feld target.user.user_display_name im UDM zugeordnet. Das Konto, das mit dem Ereignis verknüpft ist. |
addr |
principal.ip |
Der Wert von addr aus dem Rohprotokoll wird dem Feld principal.ip im UDM zugeordnet. Dies ist die IP-Adresse des Hauptkontos, das an der Veranstaltung beteiligt ist. |
additional.fields |
additional.fields |
Dem additional.fields -Array im UDM werden zusätzliche Felder aus geparsten Schlüssel/Wert-Paaren oder Labels hinzugefügt. |
agent.googleapis.com/log_file_path |
(Nicht zugeordnet) | Dieses Label ist in einigen Rohlogs vorhanden, aber nicht dem IDM-Objekt in der UDM zugeordnet. |
algo |
(In diesem Beispiel nicht verwendet) | Dieses Feld ist zwar im Parser und in einigen Rohlogs vorhanden, wird aber im Beispiel nicht verwendet und erscheint nicht im endgültigen UDM. |
application |
principal.application |
Abgeleitet aus dem Feld terminal im Rohprotokoll oder aus anderen Feldern wie exe , je nach Protokolltyp. Stellt die betreffende Anwendung dar. |
arch |
security_result.about.platform_version |
Die Architektur aus dem Feld arch des Rohlogs wird security_result.about.platform_version zugeordnet. |
auid |
about.user.userid , security_result.detection_fields.auid |
Die Prüf-User-ID (auid ) wird about.user.userid zugeordnet und als Erkennungsfeld in security_result hinzugefügt. |
cmd |
target.process.command_line |
Der Befehl aus dem Feld cmd des Rohlogs wird target.process.command_line zugeordnet. |
collection_time |
(Nicht zugeordnet) | Dieses Feld ist die Zeit der Protokollerhebung und wird nicht dem IDM-Objekt in der UDM zugeordnet. |
comm |
principal.application |
Der Befehlsname (comm ) ist principal.application zugeordnet. |
compute.googleapis.com/resource_name |
principal.hostname |
Der Ressourcenname dieses Labels ist principal.hostname zugeordnet. |
create_time |
(Nicht zugeordnet) | Dieses Feld ist nicht dem IDM-Objekt im UDM zugeordnet. |
cwd |
security_result.detection_fields.cwd |
Das aktuelle Arbeitsverzeichnis (cwd ) wird in security_result als Erkennungsfeld hinzugefügt. |
data |
(Verarbeitet) | Das Feld data enthält die Hauptprotokollmeldung und wird vom Parser verarbeitet, um verschiedene Felder zu extrahieren. Es wird nicht direkt einem einzelnen UDM-Feld zugeordnet. |
exe |
principal.process.file.full_path , target.process.file.full_path |
Der Pfad zur ausführbaren Datei (exe ) wird je nach Kontext entweder auf principal.process.file.full_path oder target.process.file.full_path zugeordnet. |
extensions.auth.type |
extensions.auth.type |
Der Authentifizierungstyp wird von der Parserlogik basierend auf dem Ereignistyp festgelegt. Wird oft auf MACHINE oder AUTHTYPE_UNSPECIFIED festgelegt. |
fp |
network.tls.client.certificate.sha256 |
Der Fingerabdruck (fp ) wird analysiert, um den SHA256-Hash zu extrahieren und auf network.tls.client.certificate.sha256 abzubilden. |
insertId |
(Nicht zugeordnet) | Dieses Feld ist nicht dem IDM-Objekt im UDM zugeordnet. |
jsonPayload.message |
(Verarbeitet) | Dieses Feld enthält die Hauptprotokollmeldung im JSON-Format und wird vom Parser verarbeitet. |
key |
security_result.about.registry.registry_key |
Das Schlüsselfeld ist security_result.about.registry.registry_key zugeordnet. |
labels |
(Verarbeitet) | Labels aus dem Rohprotokoll werden verarbeitet und verschiedenen UDM-Feldern zugeordnet oder additional.fields hinzugefügt. |
logName |
(Nicht zugeordnet) | Dieses Feld ist nicht dem IDM-Objekt im UDM zugeordnet. |
msg |
security_result.summary |
Die Nachricht (msg ) wird häufig verwendet, um das Feld security_result.summary auszufüllen. |
network.application_protocol |
network.application_protocol |
Wird von der Parserlogik basierend auf dem Ereignistyp festgelegt (z.B. SSH, HTTP). |
network.direction |
network.direction |
Wird von der Parserlogik basierend auf dem Ereignistyp festgelegt (z.B. INBOUND, OUTBOUND). |
network.ip_protocol |
network.ip_protocol |
Wird von der Parserlogik festgelegt, normalerweise auf „TCP“ für SSH-Ereignisse. |
network.session_id |
network.session_id |
Aus dem Feld ses zugeordnet oder aus anderen Feldern abgeleitet. |
network.tls.cipher |
network.tls.cipher |
Die Chiffreninformationen werden aus dem Rohprotokoll extrahiert und diesem Feld zugeordnet. |
network.tls.curve |
network.tls.curve |
Die Schlüsselaustauschkurve wird aus dem Rohprotokoll extrahiert und diesem Feld zugeordnet. |
pid |
principal.process.pid , target.process.pid |
Die Prozess-ID (pid ) wird je nach Kontext entweder principal.process.pid oder target.process.pid zugeordnet. |
ppid |
principal.process.parent_process.pid , target.process.parent_process.pid |
Die übergeordnete Prozess-ID (ppid ) wird je nach Kontext entweder principal.process.parent_process.pid oder target.process.parent_process.pid zugeordnet. |
principal.asset.hostname |
principal.asset.hostname |
Kopiert von principal.hostname . |
principal.asset.ip |
principal.asset.ip |
Kopiert von principal.ip . |
principal.platform |
principal.platform |
Wird von der Parserlogik basierend auf dem Betriebssystem festgelegt (z.B. LINUX). |
principal.port |
principal.port |
Die mit dem Principal verknüpfte Portnummer. |
principal.user.group_identifiers |
principal.user.group_identifiers |
Gruppen-IDs, die mit dem Hauptnutzer verknüpft sind. |
receiveTimestamp |
(Nicht zugeordnet) | Dieses Feld ist der Zeitstempel für den Empfang des Logs und wird nicht dem IDM-Objekt in der UDM zugeordnet. |
res |
security_result.action_details |
Das Ergebnis (res ) wird security_result.action_details zugeordnet. |
resource.labels |
(Nicht zugeordnet) | Diese Labels sind in einigen Rohlogs vorhanden, aber nicht dem IDM-Objekt in der UDM zugeordnet. |
resource.type |
(Nicht zugeordnet) | Dieses Feld ist in einigen Rohlogs vorhanden, aber nicht dem IDM-Objekt in der UDM zugeordnet. |
security_result.action |
security_result.action |
Wird von der Parserlogik basierend auf dem Feld res festgelegt (z.B. ALLOW, BLOCK). |
security_result.detection_fields |
security_result.detection_fields |
Verschiedene Felder aus dem Rohprotokoll werden diesem Array als Schlüssel/Wert-Paare hinzugefügt. |
security_result.rule_id |
security_result.rule_id |
Wird von der Parserlogik festgelegt, oft auf type_name für Systemaufruf-Ereignisse. |
security_result.severity |
security_result.severity |
Wird von der Parserlogik basierend auf dem Schweregrad im Rohprotokoll festgelegt. |
security_result.summary |
security_result.summary |
Eine Zusammenfassung des Ereignisses, die oft aus dem Feld msg oder anderen relevanten Feldern abgeleitet wird. |
ses |
network.session_id |
Die Sitzungs-ID (ses ) wird network.session_id zugeordnet. |
source |
(Nicht zugeordnet) | Dieses Feld enthält Metadaten zur Protokollquelle und ist nicht dem IDM-Objekt in der UDM zugeordnet. |
subj |
(Verarbeitet) | Das Betrefffeld (subj ) wird verarbeitet, um Informationen zum Nutzer und zum Sicherheitskontext zu extrahieren. |
syscall |
security_result.about.labels.Syscall |
Die Systemaufrufnummer wird als Label in security_result.about hinzugefügt. |
target.administrative_domain |
target.administrative_domain |
Die Domain des Zielnutzers. |
target.group.group_display_name |
target.group.group_display_name |
Der Name der Zielgruppe. |
target.ip |
target.ip |
Die IP-Adresse des Ziels. |
target.port |
target.port |
Die mit dem Ziel verknüpfte Portnummer. |
target.process.command_line |
target.process.command_line |
Die Befehlszeile des Zielprozesses. |
target.resource.type |
target.resource.type |
Der Typ der Zielressource, der von der Parserlogik festgelegt wird (z.B. CREDENTIAL, SETTING). |
target.user.attribute.permissions |
target.user.attribute.permissions |
Berechtigungen für den Zielnutzer. |
target.user.group_identifiers |
target.user.group_identifiers |
Gruppen-IDs, die mit dem Zielnutzer verknüpft sind. |
target.user.userid |
target.user.userid |
Die Nutzer-ID des Ziels. |
textPayload |
(Verarbeitet) | Die Textnutzlast des Logs, die vom Parser verarbeitet wird, um verschiedene Felder zu extrahieren. |
timestamp |
metadata.event_timestamp |
Der Zeitstempel des Ereignisses. |
tty |
security_result.about.labels.tty |
Das tty wird als Label in security_result.about hinzugefügt. |
type |
metadata.product_event_type |
Der Ereignistyp (type ) ist metadata.product_event_type zugeordnet. |
uid |
principal.user.userid , target.user.userid |
Die Nutzer-ID (uid ) wird je nach Kontext entweder principal.user.userid oder target.user.userid zugeordnet. |
Änderungen
2024-05-08
- Wenn der Wert nicht „?“ ist, wird „field“ mit „field33“ zu „security_result.detection_fields“ zugeordnet.
- Wenn „type_name“ „CRYPTO_KEY_USER“ ist, wird „exe“ mit „principal.process.file.full_path“ verknüpft.
- Wenn „type_name“ „CRYPTO_KEY_USER“ ist, wird „fp“ mit „network.tls.client.certificate.sha256“ abgeglichen.
- Wenn „type_name“ „CRYPTO_KEY_USER“ ist, wird „pid“ mit „principal.process.pid“ abgeglichen.
- Grok-Muster zum Parsen neuer Protokollmuster hinzugefügt.
- „syslog-tag“ wurde „security_result.detection_fields“ zugeordnet.
- „inter_ip“ wurde „intermediary.ip“ zugeordnet.
- „inter_hostname“ wurde „intermediary.hostname“ zugeordnet.
2024-05-02
- Wenn „type_name“ „USER_MGMT“ ist, wird „grp“ mit „target.group.group_display_name“ abgeglichen.
- Wenn „type_name“ „USER_MGMT“ ist, wurde die Zuordnung von „uid“ von „principal.user.userid“ zu „target.user.userid“ geändert.
- Wenn „type_name“ „USER_MGMT“ ist und „op“ „deleting-user-from-group“ entspricht, setze „metadata.event_type“ auf „GROUP_MODIFICATION“.
- Wenn „type_name“ „USER_MGMT“ ist, wurde die Zuordnung von „exe“ von „target.process.file.full_path“ zu „principal.process.file.full_path“ geändert.
- Wenn „type_name“ „USER_MGMT“ ist, wird „id“ mit „about.user.userid“ abgeglichen.
2024-04-08
- Wenn „type_name“ „ADD_USER“ ist, „principal_user_present“ „wahr“ ist, „target_user_present“ „wahr“ ist und „has_principal“ „wahr“ ist, setzen Sie „metadata.event_type“ auf „USER_CREATION“.
- Wenn „type_name“ „USER_AUTH“ ist, wird „acct“ mit „target.user.user_display_name“ abgeglichen.
- Wenn „type_name“ „USER_AUTH“ ist, wird „uid“ mit „principal.user.userid“ abgeglichen.
- Wenn „type_name“ nicht zu „ADD_USER“, „USER_AUTH“, „CRED_ACQ“ und „USER_MGMT“ gehört, wird „auid“ mit „about.user.userid“ abgeglichen.
- Wenn „type_name“ „ADD_USER“ ist, wird „auid“ mit „target.user.userid“ abgeglichen.
- Wenn „type_name“ „ADD_USER“ oder „USER_AUTH“ ist, wird „exe“ mit „principal.process.file.full_path“ verknüpft.
- Wenn „type_name“ „ADD_USER“ ist, werden „op“ und „id“ zu „security_result.summary“ zugeordnet.
- Wenn „type_name“ „USER_AUTH“ ist, werden „op“ und „acct“ zu „security_result.summary“ zugeordnet.
2024-03-22
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
- „labels.compute.googleapis.com/resource_name“, „jsonPayload._HOSTNAME“, „CollectorHostName“, „HOSTNAME“ und „Computer“ wurden in „principal.hostname“ umgewandelt.
- „HostIP“ wurde „principal.ip“ zugeordnet.
- „ProcessID“ und „jsonPayload._PID“ wurden auf „principal.process.pid“ zugeordnet.
- „SyslogMessage“ wurde auf „metadata.description“ zugeordnet.
- „TenantId“, „_ItemId“, „_Internal_WorkspaceResourceId“, „_ResourceId“ und „Facility“ wurden zu „additional.fields“ zugeordnet.
- „SeverityLevel“ wurde zu „security_result.severity“ zugeordnet.
- „SourceSystem“ wurde auf „principal.platform“ zugeordnet.
- „jsonPayload._COMM“ wurde auf „principal.application“ zugeordnet.
- „jsonPayload._EXE“ wurde auf „target.process.file.full_path“ zugeordnet.
- „jsonPayload._AUDIT_FIELD_FILE“ wurde in „target.file.full_path“ umgewandelt.
- „jsonPayload._AUDIT_FIELD_HASH“ wurde in „target.file.hash“ umgewandelt.
- „jsonPayload._AUDIT_SESSION“ wurde in „network.session_id“ umgewandelt.
- „jsonPayload._PPID“ wurde auf „principal.process.parent_process.pid“ zugeordnet.
- „jsonPayload._AUDIT_FIELD_A0“, „jsonPayload._AUDIT_FIELD_A1“, „jsonPayload._AUDIT_FIELD_A2“, „jsonPayload._AUDIT_FIELD_A3“, „jsonPayload._BOOT_ID“ und „jsonPayload._AUDIT_FIELD_EXIT“ wurden in „security_result.detection_fields“ zugeordnet.
2023-11-27
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_LOGIN“ festgelegt wird.
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ auf „true“ festgelegt ist, bevor „metadata.event_type“ auf „USER_LOGOUT“ gesetzt wird.
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_CREATION“ festgelegt wird.
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_DELETION“ festgelegt wird.
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_UNCATEGORIZED“ festgelegt wird.
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_RESOURCE_ACCESS“ festgelegt wird.
- Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_CHANGE_PERMISSIONS“ festgelegt wird.
- Wenn Nutzerdetails vorhanden sind, aber keine Details zum Hauptgerät, wurde die Zuordnung von „metadata.event_type“ von „USER_CREATION“ zu „USER_UNCATEGORIZED“ geändert.
- Wenn Nutzerdetails vorhanden sind, aber keine Details zum Hauptgerät, wurde die Zuordnung von „metadata.event_type“ von „USER_DELETION“ zu „USER_UNCATEGORIZED“ geändert.
2023-09-06
- Zuordnung von „CMD“ zu „target.process.command_line“ für „cron daemon(CROND)“ hinzugefügt.
2023-06-20
- Verbesserung: Die folgenden Zuordnungen wurden hinzugefügt oder geändert, wenn „type“ den Wert „ADD_USER“ oder „DEL_USER“ hat:
- Die Zuordnung von „uid“ wurde von „target.user.userid“ zu „principal.user.userid“ geändert.
- „id“ wurde „target.user.userid“ zugeordnet.
- „ID“ wurde „target.user.user_display_name“ zugeordnet.
- Die Zuordnung von „UID“ wurde von „principal.user.userid“ zu „principal.user.user_display_name“ geändert.
- Die Zuordnung von „acct“ wurde von „principal.user.user_display_name“ zu „target.user.user_display_name“ und „target.user.userid“ geändert.
2023-06-09
- Verbesserung: Der „event_type“ wurde von „USER_LOGIN“ in „USER_CREATION“ geändert, wenn „type=ADD_USER“ ist.
2023-04-17
- Optimierung
- Die Funktion „gsub“ wurde hinzugefügt, um das Zeichen „GS – Gruppentrennzeichen“ zu ersetzen, das die JSON-Struktur stört.
2023-04-10
- Optimierung
- Die Felder „gid“, „euid“, „egid“, „suid“, „fsuid“, „sgid“, „fsgid“, „tty“ und „items“ wurden zu „security_result.detection_fields“ hinzugefügt.
- Außerdem wurde „gid“ mit „principal.user.group_identifiers“ verknüpft.
- „euid“ wurde „target.user.userid“ zugeordnet.
- „egid“ wurde „target.user.group_identifiers“ zugeordnet.
2023-03-27
- Verbesserung: Unterstützung für „jsonPayload“ mit Protokollen hinzugefügt.
2023-02-28
- Fehlerkorrektur: Erweiterter Parser zum Konvertieren von hexadezimal codierten Strings in ASCII.
2023-02-09
- Verbesserung: Grok-Regel für Protokolle mit „type=PATH“ wurde geändert, um den richtigen Hostnamen aus den Protokollen abzurufen.
2023-01-24
- Verbesserung –
- Geparsiertes Protokoll mit dem Ereignistyp „tac_plus“.
- Es wurden Bedingungen zum Zuordnen verschiedener Ereignistypen hinzugefügt: „NETWORK_CONNECTION“, „NETWORK_HTTP“ und „USER_LOGIN“.
2022-12-02
- Verbesserung –
- „user_name“ wurde „principal.user.userid“ zugeordnet.
- Bedingte Prüfung für „dst_ip“ und „dst_port“ hinzugefügt.
2022-10-31
- Verbesserung –
- Der Parser wurde erweitert, um das Protokoll mit dem Typ „ADD_USER“, „USER_MGMT“ und „DEL_USER“ zu parsen.
- Es wurden Null-Prüfungen für „principal_hostname“ hinzugefügt.
- Es wurden on_error-Prüfungen für „principal.process.file.full_path“, „type_syscall_props.key“, „type_syscall_props.arch“ und „msg2“ hinzugefügt.
- Es wurden bedingte Prüfungen für die Zuordnung zu den Ereignistypen „FILE_OPEN“, „USER_UNCATEGORIZED“, „STATUS_UPDATE“ und „USER_DELETION“ hinzugefügt.
- „principal_user_userid“ wurde in „principal.user.userid“ umgewandelt.
2022-11-16
- Verbesserung –
- „GENERIC_EVENT“ wurde für Protokolltypen, die „Zugriffsprotokolle“ enthalten, in „STATUS_UPDATE“ geändert.
2022-10-14
- Verbesserung –
- Der Kundenparser wurde zum Standardparser migriert.
2022-10-13
- Verbesserung: „vendor_name“ wurde auf „Linux“ umgestellt.
- „product_name“ wurde „AuditD“ zugeordnet.
- Die Protokolle, die „ProxySG“ enthalten, wurden analysiert und „ip“ wurde nach Möglichkeit „target.ip“ und „port“ „target.port“ zugeordnet.
- „event_type“ von „GENERIC_EVENT“ in „STATUS_UPDATE“ geändert.
- Die Zuordnung für „intermediary.hostname“ wurde in „principal.hostname“ geändert.
2022-07-28
- Verbesserung –
- Das Feld „auid“ wurde „about.user.userid“ zugeordnet.
- Das Feld „AUID“ wurde „about.user.user_display_name“ zugeordnet.
- Das Feld „proctitle“ wurde „target.process.file.full_path“ zugeordnet.
- Der Parser wurde erweitert, um Protokolle mit dem Typ „type=DAEMON_END“, „CRYPTO_SESSION“, „CONFIG_CHANGE“, „PROCTITLE“, „USER_ERR“ und „CRYPTO_KEY_USER“ zu verarbeiten.
- Bedingte Prüfung für „laddr“, „addr“, „cipher“, „pfs“, „direction“, „acct“, „pid“, „ppid“, „cmd“, „exe“ und „ses“ hinzugefügt.
2022-06-17
- Verbesserung: Die folgenden Felder wurden zugeordnet bzw. geändert:
- Die Zuordnung von „auid“ wurde von „security_result.about.user.userid“ zu „about.user.userid“ geändert.
- „event_type“ für „type=SYSCALL“ von „SYSTEM_AUDIT_LOG_UNCATEGORIZED“ in „USER_UNCATEGORIZED“ geändert.
- „success“ wurde „security_result.summary“ zugeordnet.
- „syscall“, „exit“, „tty“, „a0“, „a1“, „a2“ und „a3“ wurden in „security_result.about.labels“ zugeordnet.
- Die Protokolle wurden im ASCII-Format abgelegt.
2022-06-14
- Verbesserung
- Der Parser wurde erweitert, um Logs vom Typ „USER_CMD“ zu parsen.
- Das Feld „cmd“ wurde „principal.process.command_line“ zugeordnet.
- Das Feld „ses“ wurde „network.session_id“ zugeordnet.
- Das Feld „res“ wurde den Feldern „security_result.action“ und „security_result.action_details“ zugeordnet.
- Die Felder „auid“ und „cwd“ wurden „security_result.detection_fields“ zugeordnet.
2022-04-26
- Verbesserung
- Der Prozentsatz der geparsten Protokolle wurde erhöht, indem alle nicht geparsten Protokolle geparst wurden.