Linux-Audit- und AIX-Systemprotokolle erfassen

Unterstützt in:

Dieser Parser verarbeitet Linux-Audit-Logs im SYSLOG-Format und wandelt sie in UDM um. Es verarbeitet sowohl JSON-formatierte als auch reinen Text in Lognachrichten. Dabei werden Felder mithilfe von Grok, XML- und JSON-Parsing-Techniken extrahiert und basierend auf dem Ereignistyp den entsprechenden UDM-Feldern zugeordnet. Der Parser verarbeitet auch bestimmte Protokollformate von AIX-Systemen und ergänzt das UDM um zusätzliche Felder wie security_result und Zwischendetails.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen Root-Zugriff auf den Auditd-Host.
  • Prüfen Sie, ob Sie rsyslog auf dem Auditd-Host installiert haben.
  • Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
      tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: auditd
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Starten Sie den BindPlane-Agent mit dem folgenden Befehl neu, um die Änderungen anzuwenden: sudo systemctl bindplane restart

Syslog aus Auditd exportieren

  1. Rufen Sie den Computer auf, von dem Sie Audit-Logs exportieren möchten.
  2. Öffnen Sie die Auditd-Konfigurationsdatei (normalerweise unter /etc/audit/auditd.conf).

    sudo vi /etc/audit/auditd.conf
    
  3. Suchen Sie nach den folgenden Zeilen oder fügen Sie sie hinzu, um auditd zu konfigurieren:

    active = yes
    output = syslog
    log_format = ENRICHED
    dispatcher = /sbin/audispd
    

Optional: Syslog-Einrichtung angeben: Fügen Sie in auditd.conf die folgende Zeile hinzu oder ändern Sie sie:

```none
syslog_facility = LOG_AUTHPRIV
```
  1. Öffne die Konfigurationsdatei von audispd (normalerweise unter /etc/audisp/plugins.d/syslog.conf):

    sudo vi /etc/audisp/plugins.d/syslog.conf
    
  2. Suchen Sie nach den folgenden Zeilen oder fügen Sie sie hinzu, um audispd zu konfigurieren:

    active = yes
    direction = out
    path = builtin_syslog
    type = builtin
    args = LOG_INFO
    format = string
    
  3. Starten Sie den Auditd-Dienst neu, um die Änderungen anzuwenden:

    sudo systemctl restart auditd
    
  4. Verwenden Sie ein Tool wie tail, um das Syslog zu überwachen und zu prüfen, ob Auditd-Protokolle gesendet werden:

    tail -f /var/log/syslog | grep auditd # Follow syslog and filter for auditd messages (path may vary depending on your system)
    
  5. Bearbeiten Sie die rsyslog.conf oder erstellen Sie eine benutzerdefinierte Konfiguration:

    sudo vi /etc/rsyslog.d/50-audit-forwarding.conf
    
  6. Fügen Sie eine Regel zum Weiterleiten von Protokollen hinzu:

    • if $programname == 'auditd' then @@<BindPlane_Agent>:<BindPlane_Port>
    • Verwenden Sie @ für UDP oder @@ für TCP.
    • Ersetzen Sie <BindPlane_Agent> durch die IP-Adresse oder den Hostnamen Ihres Servers.
    • Ersetzen Sie <BindPlane_Port> durch den Port Ihres Servers.
  7. Starten Sie den rsyslog-Dienst neu, um die Änderungen anzuwenden:

    sudo systemctl restart rsyslog
    

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
acct target.user.user_display_name Der Wert von acct aus dem Rohprotokoll wird dem Feld target.user.user_display_name im UDM zugeordnet. Das Konto, das mit dem Ereignis verknüpft ist.
addr principal.ip Der Wert von addr aus dem Rohprotokoll wird dem Feld principal.ip im UDM zugeordnet. Dies ist die IP-Adresse des Hauptkontos, das an der Veranstaltung beteiligt ist.
additional.fields additional.fields Dem additional.fields-Array im UDM werden zusätzliche Felder aus geparsten Schlüssel/Wert-Paaren oder Labels hinzugefügt.
agent.googleapis.com/log_file_path (Nicht zugeordnet) Dieses Label ist in einigen Rohlogs vorhanden, aber nicht dem IDM-Objekt in der UDM zugeordnet.
algo (In diesem Beispiel nicht verwendet) Dieses Feld ist zwar im Parser und in einigen Rohlogs vorhanden, wird aber im Beispiel nicht verwendet und erscheint nicht im endgültigen UDM.
application principal.application Abgeleitet aus dem Feld terminal im Rohprotokoll oder aus anderen Feldern wie exe, je nach Protokolltyp. Stellt die betreffende Anwendung dar.
arch security_result.about.platform_version Die Architektur aus dem Feld arch des Rohlogs wird security_result.about.platform_version zugeordnet.
auid about.user.userid, security_result.detection_fields.auid Die Prüf-User-ID (auid) wird about.user.userid zugeordnet und als Erkennungsfeld in security_result hinzugefügt.
cmd target.process.command_line Der Befehl aus dem Feld cmd des Rohlogs wird target.process.command_line zugeordnet.
collection_time (Nicht zugeordnet) Dieses Feld ist die Zeit der Protokollerhebung und wird nicht dem IDM-Objekt in der UDM zugeordnet.
comm principal.application Der Befehlsname (comm) ist principal.application zugeordnet.
compute.googleapis.com/resource_name principal.hostname Der Ressourcenname dieses Labels ist principal.hostname zugeordnet.
create_time (Nicht zugeordnet) Dieses Feld ist nicht dem IDM-Objekt im UDM zugeordnet.
cwd security_result.detection_fields.cwd Das aktuelle Arbeitsverzeichnis (cwd) wird in security_result als Erkennungsfeld hinzugefügt.
data (Verarbeitet) Das Feld data enthält die Hauptprotokollmeldung und wird vom Parser verarbeitet, um verschiedene Felder zu extrahieren. Es wird nicht direkt einem einzelnen UDM-Feld zugeordnet.
exe principal.process.file.full_path, target.process.file.full_path Der Pfad zur ausführbaren Datei (exe) wird je nach Kontext entweder auf principal.process.file.full_path oder target.process.file.full_path zugeordnet.
extensions.auth.type extensions.auth.type Der Authentifizierungstyp wird von der Parserlogik basierend auf dem Ereignistyp festgelegt. Wird oft auf MACHINE oder AUTHTYPE_UNSPECIFIED festgelegt.
fp network.tls.client.certificate.sha256 Der Fingerabdruck (fp) wird analysiert, um den SHA256-Hash zu extrahieren und auf network.tls.client.certificate.sha256 abzubilden.
insertId (Nicht zugeordnet) Dieses Feld ist nicht dem IDM-Objekt im UDM zugeordnet.
jsonPayload.message (Verarbeitet) Dieses Feld enthält die Hauptprotokollmeldung im JSON-Format und wird vom Parser verarbeitet.
key security_result.about.registry.registry_key Das Schlüsselfeld ist security_result.about.registry.registry_key zugeordnet.
labels (Verarbeitet) Labels aus dem Rohprotokoll werden verarbeitet und verschiedenen UDM-Feldern zugeordnet oder additional.fields hinzugefügt.
logName (Nicht zugeordnet) Dieses Feld ist nicht dem IDM-Objekt im UDM zugeordnet.
msg security_result.summary Die Nachricht (msg) wird häufig verwendet, um das Feld security_result.summary auszufüllen.
network.application_protocol network.application_protocol Wird von der Parserlogik basierend auf dem Ereignistyp festgelegt (z.B. SSH, HTTP).
network.direction network.direction Wird von der Parserlogik basierend auf dem Ereignistyp festgelegt (z.B. INBOUND, OUTBOUND).
network.ip_protocol network.ip_protocol Wird von der Parserlogik festgelegt, normalerweise auf „TCP“ für SSH-Ereignisse.
network.session_id network.session_id Aus dem Feld ses zugeordnet oder aus anderen Feldern abgeleitet.
network.tls.cipher network.tls.cipher Die Chiffreninformationen werden aus dem Rohprotokoll extrahiert und diesem Feld zugeordnet.
network.tls.curve network.tls.curve Die Schlüsselaustauschkurve wird aus dem Rohprotokoll extrahiert und diesem Feld zugeordnet.
pid principal.process.pid, target.process.pid Die Prozess-ID (pid) wird je nach Kontext entweder principal.process.pid oder target.process.pid zugeordnet.
ppid principal.process.parent_process.pid, target.process.parent_process.pid Die übergeordnete Prozess-ID (ppid) wird je nach Kontext entweder principal.process.parent_process.pid oder target.process.parent_process.pid zugeordnet.
principal.asset.hostname principal.asset.hostname Kopiert von principal.hostname.
principal.asset.ip principal.asset.ip Kopiert von principal.ip.
principal.platform principal.platform Wird von der Parserlogik basierend auf dem Betriebssystem festgelegt (z.B. LINUX).
principal.port principal.port Die mit dem Principal verknüpfte Portnummer.
principal.user.group_identifiers principal.user.group_identifiers Gruppen-IDs, die mit dem Hauptnutzer verknüpft sind.
receiveTimestamp (Nicht zugeordnet) Dieses Feld ist der Zeitstempel für den Empfang des Logs und wird nicht dem IDM-Objekt in der UDM zugeordnet.
res security_result.action_details Das Ergebnis (res) wird security_result.action_details zugeordnet.
resource.labels (Nicht zugeordnet) Diese Labels sind in einigen Rohlogs vorhanden, aber nicht dem IDM-Objekt in der UDM zugeordnet.
resource.type (Nicht zugeordnet) Dieses Feld ist in einigen Rohlogs vorhanden, aber nicht dem IDM-Objekt in der UDM zugeordnet.
security_result.action security_result.action Wird von der Parserlogik basierend auf dem Feld res festgelegt (z.B. ALLOW, BLOCK).
security_result.detection_fields security_result.detection_fields Verschiedene Felder aus dem Rohprotokoll werden diesem Array als Schlüssel/Wert-Paare hinzugefügt.
security_result.rule_id security_result.rule_id Wird von der Parserlogik festgelegt, oft auf type_name für Systemaufruf-Ereignisse.
security_result.severity security_result.severity Wird von der Parserlogik basierend auf dem Schweregrad im Rohprotokoll festgelegt.
security_result.summary security_result.summary Eine Zusammenfassung des Ereignisses, die oft aus dem Feld msg oder anderen relevanten Feldern abgeleitet wird.
ses network.session_id Die Sitzungs-ID (ses) wird network.session_id zugeordnet.
source (Nicht zugeordnet) Dieses Feld enthält Metadaten zur Protokollquelle und ist nicht dem IDM-Objekt in der UDM zugeordnet.
subj (Verarbeitet) Das Betrefffeld (subj) wird verarbeitet, um Informationen zum Nutzer und zum Sicherheitskontext zu extrahieren.
syscall security_result.about.labels.Syscall Die Systemaufrufnummer wird als Label in security_result.about hinzugefügt.
target.administrative_domain target.administrative_domain Die Domain des Zielnutzers.
target.group.group_display_name target.group.group_display_name Der Name der Zielgruppe.
target.ip target.ip Die IP-Adresse des Ziels.
target.port target.port Die mit dem Ziel verknüpfte Portnummer.
target.process.command_line target.process.command_line Die Befehlszeile des Zielprozesses.
target.resource.type target.resource.type Der Typ der Zielressource, der von der Parserlogik festgelegt wird (z.B. CREDENTIAL, SETTING).
target.user.attribute.permissions target.user.attribute.permissions Berechtigungen für den Zielnutzer.
target.user.group_identifiers target.user.group_identifiers Gruppen-IDs, die mit dem Zielnutzer verknüpft sind.
target.user.userid target.user.userid Die Nutzer-ID des Ziels.
textPayload (Verarbeitet) Die Textnutzlast des Logs, die vom Parser verarbeitet wird, um verschiedene Felder zu extrahieren.
timestamp metadata.event_timestamp Der Zeitstempel des Ereignisses.
tty security_result.about.labels.tty Das tty wird als Label in security_result.about hinzugefügt.
type metadata.product_event_type Der Ereignistyp (type) ist metadata.product_event_type zugeordnet.
uid principal.user.userid, target.user.userid Die Nutzer-ID (uid) wird je nach Kontext entweder principal.user.userid oder target.user.userid zugeordnet.

Änderungen

2024-05-08

  • Wenn der Wert nicht „?“ ist, wird „field“ mit „field33“ zu „security_result.detection_fields“ zugeordnet.
  • Wenn „type_name“ „CRYPTO_KEY_USER“ ist, wird „exe“ mit „principal.process.file.full_path“ verknüpft.
  • Wenn „type_name“ „CRYPTO_KEY_USER“ ist, wird „fp“ mit „network.tls.client.certificate.sha256“ abgeglichen.
  • Wenn „type_name“ „CRYPTO_KEY_USER“ ist, wird „pid“ mit „principal.process.pid“ abgeglichen.
  • Grok-Muster zum Parsen neuer Protokollmuster hinzugefügt.
  • „syslog-tag“ wurde „security_result.detection_fields“ zugeordnet.
  • „inter_ip“ wurde „intermediary.ip“ zugeordnet.
  • „inter_hostname“ wurde „intermediary.hostname“ zugeordnet.

2024-05-02

  • Wenn „type_name“ „USER_MGMT“ ist, wird „grp“ mit „target.group.group_display_name“ abgeglichen.
  • Wenn „type_name“ „USER_MGMT“ ist, wurde die Zuordnung von „uid“ von „principal.user.userid“ zu „target.user.userid“ geändert.
  • Wenn „type_name“ „USER_MGMT“ ist und „op“ „deleting-user-from-group“ entspricht, setze „metadata.event_type“ auf „GROUP_MODIFICATION“.
  • Wenn „type_name“ „USER_MGMT“ ist, wurde die Zuordnung von „exe“ von „target.process.file.full_path“ zu „principal.process.file.full_path“ geändert.
  • Wenn „type_name“ „USER_MGMT“ ist, wird „id“ mit „about.user.userid“ abgeglichen.

2024-04-08

  • Wenn „type_name“ „ADD_USER“ ist, „principal_user_present“ „wahr“ ist, „target_user_present“ „wahr“ ist und „has_principal“ „wahr“ ist, setzen Sie „metadata.event_type“ auf „USER_CREATION“.
  • Wenn „type_name“ „USER_AUTH“ ist, wird „acct“ mit „target.user.user_display_name“ abgeglichen.
  • Wenn „type_name“ „USER_AUTH“ ist, wird „uid“ mit „principal.user.userid“ abgeglichen.
  • Wenn „type_name“ nicht zu „ADD_USER“, „USER_AUTH“, „CRED_ACQ“ und „USER_MGMT“ gehört, wird „auid“ mit „about.user.userid“ abgeglichen.
  • Wenn „type_name“ „ADD_USER“ ist, wird „auid“ mit „target.user.userid“ abgeglichen.
  • Wenn „type_name“ „ADD_USER“ oder „USER_AUTH“ ist, wird „exe“ mit „principal.process.file.full_path“ verknüpft.
  • Wenn „type_name“ „ADD_USER“ ist, werden „op“ und „id“ zu „security_result.summary“ zugeordnet.
  • Wenn „type_name“ „USER_AUTH“ ist, werden „op“ und „acct“ zu „security_result.summary“ zugeordnet.

2024-03-22

  • Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
  • „labels.compute.googleapis.com/resource_name“, „jsonPayload._HOSTNAME“, „CollectorHostName“, „HOSTNAME“ und „Computer“ wurden in „principal.hostname“ umgewandelt.
  • „HostIP“ wurde „principal.ip“ zugeordnet.
  • „ProcessID“ und „jsonPayload._PID“ wurden auf „principal.process.pid“ zugeordnet.
  • „SyslogMessage“ wurde auf „metadata.description“ zugeordnet.
  • „TenantId“, „_ItemId“, „_Internal_WorkspaceResourceId“, „_ResourceId“ und „Facility“ wurden zu „additional.fields“ zugeordnet.
  • „SeverityLevel“ wurde zu „security_result.severity“ zugeordnet.
  • „SourceSystem“ wurde auf „principal.platform“ zugeordnet.
  • „jsonPayload._COMM“ wurde auf „principal.application“ zugeordnet.
  • „jsonPayload._EXE“ wurde auf „target.process.file.full_path“ zugeordnet.
  • „jsonPayload._AUDIT_FIELD_FILE“ wurde in „target.file.full_path“ umgewandelt.
  • „jsonPayload._AUDIT_FIELD_HASH“ wurde in „target.file.hash“ umgewandelt.
  • „jsonPayload._AUDIT_SESSION“ wurde in „network.session_id“ umgewandelt.
  • „jsonPayload._PPID“ wurde auf „principal.process.parent_process.pid“ zugeordnet.
  • „jsonPayload._AUDIT_FIELD_A0“, „jsonPayload._AUDIT_FIELD_A1“, „jsonPayload._AUDIT_FIELD_A2“, „jsonPayload._AUDIT_FIELD_A3“, „jsonPayload._BOOT_ID“ und „jsonPayload._AUDIT_FIELD_EXIT“ wurden in „security_result.detection_fields“ zugeordnet.

2023-11-27

  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_LOGIN“ festgelegt wird.
  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ auf „true“ festgelegt ist, bevor „metadata.event_type“ auf „USER_LOGOUT“ gesetzt wird.
  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_CREATION“ festgelegt wird.
  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_DELETION“ festgelegt wird.
  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_UNCATEGORIZED“ festgelegt wird.
  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_RESOURCE_ACCESS“ festgelegt wird.
  • Es wurde eine Validierungsüberprüfung hinzugefügt, um sicherzustellen, dass entweder „principal_user_present“, „target_user_present“ oder „has_principal“ wahr ist, bevor „metadata.event_type“ auf „USER_CHANGE_PERMISSIONS“ festgelegt wird.
  • Wenn Nutzerdetails vorhanden sind, aber keine Details zum Hauptgerät, wurde die Zuordnung von „metadata.event_type“ von „USER_CREATION“ zu „USER_UNCATEGORIZED“ geändert.
  • Wenn Nutzerdetails vorhanden sind, aber keine Details zum Hauptgerät, wurde die Zuordnung von „metadata.event_type“ von „USER_DELETION“ zu „USER_UNCATEGORIZED“ geändert.

2023-09-06

  • Zuordnung von „CMD“ zu „target.process.command_line“ für „cron daemon(CROND)“ hinzugefügt.

2023-06-20

  • Verbesserung: Die folgenden Zuordnungen wurden hinzugefügt oder geändert, wenn „type“ den Wert „ADD_USER“ oder „DEL_USER“ hat:
  • Die Zuordnung von „uid“ wurde von „target.user.userid“ zu „principal.user.userid“ geändert.
  • „id“ wurde „target.user.userid“ zugeordnet.
  • „ID“ wurde „target.user.user_display_name“ zugeordnet.
  • Die Zuordnung von „UID“ wurde von „principal.user.userid“ zu „principal.user.user_display_name“ geändert.
  • Die Zuordnung von „acct“ wurde von „principal.user.user_display_name“ zu „target.user.user_display_name“ und „target.user.userid“ geändert.

2023-06-09

  • Verbesserung: Der „event_type“ wurde von „USER_LOGIN“ in „USER_CREATION“ geändert, wenn „type=ADD_USER“ ist.

2023-04-17

  • Optimierung
  • Die Funktion „gsub“ wurde hinzugefügt, um das Zeichen „GS – Gruppentrennzeichen“ zu ersetzen, das die JSON-Struktur stört.

2023-04-10

  • Optimierung
  • Die Felder „gid“, „euid“, „egid“, „suid“, „fsuid“, „sgid“, „fsgid“, „tty“ und „items“ wurden zu „security_result.detection_fields“ hinzugefügt.
  • Außerdem wurde „gid“ mit „principal.user.group_identifiers“ verknüpft.
  • „euid“ wurde „target.user.userid“ zugeordnet.
  • „egid“ wurde „target.user.group_identifiers“ zugeordnet.

2023-03-27

  • Verbesserung: Unterstützung für „jsonPayload“ mit Protokollen hinzugefügt.

2023-02-28

  • Fehlerkorrektur: Erweiterter Parser zum Konvertieren von hexadezimal codierten Strings in ASCII.

2023-02-09

  • Verbesserung: Grok-Regel für Protokolle mit „type=PATH“ wurde geändert, um den richtigen Hostnamen aus den Protokollen abzurufen.

2023-01-24

  • Verbesserung –
  • Geparsiertes Protokoll mit dem Ereignistyp „tac_plus“.
  • Es wurden Bedingungen zum Zuordnen verschiedener Ereignistypen hinzugefügt: „NETWORK_CONNECTION“, „NETWORK_HTTP“ und „USER_LOGIN“.

2022-12-02

  • Verbesserung –
  • „user_name“ wurde „principal.user.userid“ zugeordnet.
  • Bedingte Prüfung für „dst_ip“ und „dst_port“ hinzugefügt.

2022-10-31

  • Verbesserung –
  • Der Parser wurde erweitert, um das Protokoll mit dem Typ „ADD_USER“, „USER_MGMT“ und „DEL_USER“ zu parsen.
  • Es wurden Null-Prüfungen für „principal_hostname“ hinzugefügt.
  • Es wurden on_error-Prüfungen für „principal.process.file.full_path“, „type_syscall_props.key“, „type_syscall_props.arch“ und „msg2“ hinzugefügt.
  • Es wurden bedingte Prüfungen für die Zuordnung zu den Ereignistypen „FILE_OPEN“, „USER_UNCATEGORIZED“, „STATUS_UPDATE“ und „USER_DELETION“ hinzugefügt.
  • „principal_user_userid“ wurde in „principal.user.userid“ umgewandelt.

2022-11-16

  • Verbesserung –
  • „GENERIC_EVENT“ wurde für Protokolltypen, die „Zugriffsprotokolle“ enthalten, in „STATUS_UPDATE“ geändert.

2022-10-14

  • Verbesserung –
  • Der Kundenparser wurde zum Standardparser migriert.

2022-10-13

  • Verbesserung: „vendor_name“ wurde auf „Linux“ umgestellt.
  • „product_name“ wurde „AuditD“ zugeordnet.
  • Die Protokolle, die „ProxySG“ enthalten, wurden analysiert und „ip“ wurde nach Möglichkeit „target.ip“ und „port“ „target.port“ zugeordnet.
  • „event_type“ von „GENERIC_EVENT“ in „STATUS_UPDATE“ geändert.
  • Die Zuordnung für „intermediary.hostname“ wurde in „principal.hostname“ geändert.

2022-07-28

  • Verbesserung –
  • Das Feld „auid“ wurde „about.user.userid“ zugeordnet.
  • Das Feld „AUID“ wurde „about.user.user_display_name“ zugeordnet.
  • Das Feld „proctitle“ wurde „target.process.file.full_path“ zugeordnet.
  • Der Parser wurde erweitert, um Protokolle mit dem Typ „type=DAEMON_END“, „CRYPTO_SESSION“, „CONFIG_CHANGE“, „PROCTITLE“, „USER_ERR“ und „CRYPTO_KEY_USER“ zu verarbeiten.
  • Bedingte Prüfung für „laddr“, „addr“, „cipher“, „pfs“, „direction“, „acct“, „pid“, „ppid“, „cmd“, „exe“ und „ses“ hinzugefügt.

2022-06-17

  • Verbesserung: Die folgenden Felder wurden zugeordnet bzw. geändert:
  • Die Zuordnung von „auid“ wurde von „security_result.about.user.userid“ zu „about.user.userid“ geändert.
  • „event_type“ für „type=SYSCALL“ von „SYSTEM_AUDIT_LOG_UNCATEGORIZED“ in „USER_UNCATEGORIZED“ geändert.
  • „success“ wurde „security_result.summary“ zugeordnet.
  • „syscall“, „exit“, „tty“, „a0“, „a1“, „a2“ und „a3“ wurden in „security_result.about.labels“ zugeordnet.
  • Die Protokolle wurden im ASCII-Format abgelegt.

2022-06-14

  • Verbesserung
  • Der Parser wurde erweitert, um Logs vom Typ „USER_CMD“ zu parsen.
  • Das Feld „cmd“ wurde „principal.process.command_line“ zugeordnet.
  • Das Feld „ses“ wurde „network.session_id“ zugeordnet.
  • Das Feld „res“ wurde den Feldern „security_result.action“ und „security_result.action_details“ zugeordnet.
  • Die Felder „auid“ und „cwd“ wurden „security_result.detection_fields“ zugeordnet.

2022-04-26

  • Verbesserung
  • Der Prozentsatz der geparsten Protokolle wurde erhöht, indem alle nicht geparsten Protokolle geparst wurden.