Raccogliere i log di Fluentd
Questo documento descrive come raccogliere i log Fluentd configurando Fluentd e un addetto alle operazioni di sicurezza di Google. Questo documento elenca anche i tipi di log supportati e la versione Fluentd supportata.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra come Fluentd viene installato sul server di inoltro e sul server di aggregazione per inviare i log a Google Security Operations. L'implementazione di ogni cliente potrebbe essere diversa da questa rappresentazione e potrebbe essere più complessa.
Il diagramma dell'architettura mostra i seguenti componenti:
Sistema Linux. Il sistema Linux da monitorare. Il sistema Linux è costituito dai file da monitorare e dal server di forwarding Fluentd.
Sistema Microsoft Windows. Il sistema Microsoft Windows da monitorare in cui è installato il server di inoltro Fluentd.
Inoltratore fluido. Il forwarding Fluentd raccoglie informazioni dal sistema operativo Microsoft Windows o Linux e inoltra le informazioni all'aggregatore Fluentd.
Aggregatore Fluentd. L'aggregatore Fluentd riceve i log Forwarder Fluentd e inoltra i log al forwarding di Google Security Operations.
Inoltratore di Google Security Operations. Il forwarder di Google Security Operations è un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta syslog. Il forwarder di Google Security Operations inoltra i log a Google Security Operations.
Google Security Operations. Le operazioni di sicurezza di Google conservano e analizzano i log dell'aggregatore Fluentd.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FLUENTD.
Prima di iniziare
Assicurati che il forwarder Fluentd sia installato sui sistemi Microsoft Windows o Linux che intendi monitorare. Per ulteriori informazioni sull'installazione del forwarder Fluentd, consulta la sezione Installazione di Fluentd
Utilizza una versione di Fluentd supportata dal parser di Google Security Operations. Il parser di Google Security Operations supporta Fluentd versione 1.0.
Assicurati che l'aggregatore Fluentd sia installato e configurato sul server Linux centrale.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Verifica i tipi di log supportati dall'analizzatore sintattico di Google Security Operations. Nella tabella che segue sono elencati i prodotti e i percorsi dei file di log supportati dall'analizzatore sintattico di Google Security Operations:
Sistema operativo Prodotto Percorso file di log Microsoft Windows Microsoft Windows Log eventi Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Configurare l'inoltro e l'aggregatore di Fluentd e lo strumento di inoltro di Google Security Operations
Per monitorare i log generati dai sistemi Linux, crea un file
td-agent.confper specificare la configurazione del monitoraggio dei log per il forwarder Fluentd. Ecco un esempio di file di configurazione per il forwarding Fluentd sul sistema Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Per monitorare i log generati dai sistemi Microsoft Windows, crea un'
td-agent.confper specificare la configurazione del monitoraggio dei log per il forwarding Fluentd. Ecco un esempio di file di configurazione per il forwarder Fluentd sul sistema Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Per inoltrare i log dall'aggregatore Fluentd al forwarding di Google Security Operations, crea un file di configurazione nel seguente formato:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Configura il forwarder di Google Security Operations per inviare i log a Google Security Operations. Per ulteriori informazioni, consulta Installazione e configurazione del forwarding su Linux. Di seguito è riportato un esempio di configurazione di Google Security Operations per l'inoltro:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Riferimento alla mappatura dei campi
Questa sezione spiega come l'analizzatore sintattico applica pattern grok per Sistemi Linux e Microsoft Windows e come vengono mappati i campi di log di Fluentd ai campi UDM (Google Security Operations Unified Data Model) per ciascun tipo di log.
Per informazioni sul riferimento di mappatura dei campi comuni, vedi Campi comuni.
Per informazioni di riferimento su percorsi di log, pattern grok come log di esempio, tipi di eventi, e UDM sui sistemi Linux, fai riferimento alle seguenti sezioni:
Per informazioni sugli eventi Microsoft Windows supportati e sui campi UDM corrispondenti, consulta Dati sugli eventi Microsoft Windows.
Campi comuni
La seguente tabella elenca i campi di log comuni e i campi UDM corrispondenti.
| Campo log comune | Campo UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname o principal.hostname |
| inner_message.path | event_source |
Sistema Linux
La tabella seguente elenca i percorsi dei log per il sistema Linux, il pattern Grok per i log di esempio, il tipo di evento e le mappature UDM:
| Percorso del log | Log di esempio | Motivo grok | Tipo di evento | Mappatura UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Gio 28 apr 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] non è riuscito a stabilire la connessione | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target.platform è impostato su "LINUX" referer_url è mappato a network.http.referral_url |
| /var/log/apache2/error.log | [dom 30 gen 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114 collegamento a HTTP: impossibile eseguire la connessione AH01114 a HTTP. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target_ip è mappato a target.ip referer_url è mappato alla rete.http.referral_url network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 feb 00:30:55 2019] Nuova connessione: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp client_ip è mappato a principal.ip client_port è mappato a principal.port connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Nuova richiesta: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp request_id è mappato a security_result.detection_fields.(chiave/valore) client_ip è mappato a principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp log_level è mappato a security_result.severity request_id è mappato a security_result.detection_fields.(chiave/valore) client_ip è mappato a principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id error_message è mappato a security_result.description file_path è mappato a target.file.full_path network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip è mappato a principal.ip userid è mappato a principal.user.userid host è mappato a principal.hostname il timestamp è mappato a metadata.event_timestamp è mappato a network.http.method La risorsa è mappata a principal.resource.name client_protocol è mappato a network.application_protocol result_status è mappato a network.http.response_code La dimensione dell'oggetto viene mappata a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host è mappato a target.hostname
target_port è mappato a target.port client_ip è mappato a principal.ip userid è mappato a principal.user.userid host è mappato a principal.hostname il timestamp è mappato a metadata.event_timestamp è mappato a network.http.method La risorsa è mappata a principal.resource.name risultato_stato è mappato a network.http.response_code La dimensione dell'oggetto viene mappata a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" network.application_protocol è impostato su "HTTP" |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip è mappato a principal.ip userid è mappato a principal.user.userid Il metodo è mappato a network.http.method il percorso è mappato a target.url risultato_stato è mappato a network.http.response_code La dimensione dell'oggetto viene mappata a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" network.application_protocol è impostato su "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | Il percorso è mappato a target.url referer_url è mappato alla rete.http.referral_url network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent è mappato a network.http.user_agent network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip}: (<campo_facoltativo>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | il tempo è mappato a metadata.timestamp ip è mappato a target.ip principal_ip è mappato a principal.ip principal_user_userid è mappato a principal.user.userid metadata_timestamp è mappato al timestamp http_method è mappato a network.http.method nome_risorsa è mappato a principal.resource.name Il protocollo è mappato a network.application_protocol = (HTTP) response_code è mappato a network.http.response_code receive_bytes è mappato a network.sent_bytes referer_url è mappato alla rete.http.referral_url user_agent è mappato a network.http.user_agent target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" |
| var/log/nginx/error.log | 29/01/2022 13:51:48 [errore] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" non riuscito (2: nessun file o directory di questo tipo), client: 192.0.2.1, server: localhost, richiesta: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 è mappato a "{security_result_description_2},client:{principal_ip},server:(<campo_facoltativo>{target_hostname}?),request:"{http_method} /(<campo_facoltativo>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() a ({target_ip}|[{target_ip}]):{target_port} non riuscito ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id è mappato a principal.process.pid la gravità è mappata a security_result.severity (il debug è mappato a UNKNOWN_SEVERITY, le informazioni sono mappate a INFORMATIONAL, l’avviso è mappato a LOW, l’avviso è mappato a MEDIUM, l’errore è mappato a ERROR, il crit è mappato a CRITICAL, l’avviso è mappato a HIGH) target_file_full_path è mappato a target.file.full_path principal_ip è mappato a principal.ip target_hostname è mappato a target.hostname http_method è mappato a network.http.method nome_risorsa è mappato a principal.resource.name protocol è mappato a "TCP" target_ip è mappato a target.ip target_port è mappato a target.port security_description + security_result_description_2 è mappata a security_result.description pid è mappato a principal.process.parent_process.pid network.application_protocol è impostato su "HTTP" timestamp è mappato a {year}/{day}/{month} {time} target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Controllo dei comandi obbligatori non riuscito | [<message_text>]{security_description} | AGGIORNAMENTO DELLO STATO | time è mappato a metadata.timestamp security_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Controllo del file "/dev/.oz/.nap/rkit/terror" in corso... [ Non trovato ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description è mappato a metadata.description
file_path è mappato a target.file.full_path security_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| var/log/rkhunter.log | fluentd: dimensioni del file ridotte (innode rimasto): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time è mappato a metadata.timestamp metadata_description è mappato a metadata.description file_path è mappato a target.file.full_path principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| /var/log/kern.log | 28 apr 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registrazione con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | AGGIORNAMENTO STATO | timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | 6 lug 11:17:01 Kernel Ubuntu18: [ 0.030139] smpboot: CPU0: CPU Intel(R) Xeon(R) Gold 5220R a 2,20 GHz (famiglia: 0x6, modello: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" principal_asset_hardware_cpu_model è mappato a "principal.asset.hardware.cpu_model" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" cpu_model è mappato a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 24 mag 10:30:42 Ubuntu18 systemd[1]: Avviata la sessione 112 dell'utente kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line |
| /var/log/syslog.log | 06 lug 10:14:37 Ubuntu18 rsyslogd: l'ID utente di rsyslogd è stato modificato in 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time è mappato a metadata.collected_timestamp Il nome host è mappato a principal.hostname Il messaggio è mappato a metadata.description user_id è mappato a principal.user.userid command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | 06 lug 10:36:48 Ubuntu18 systemd[1]: avvio del servizio di logging del sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_facoltativo>'|")<testo_messaggio>-<testo_messaggio>{utente}\/{ip}:{port}MULTI:Impara:{local_ip}->{nome_host_target}?{target_ip}:{port}(<campo_facoltativo>'|") | NETWORK_HTTP | il timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity local_ip è mappato a principal.ip target_ip è mappato a target.ip target_hostname è mappato a principal.hostname la porta è mappata a target.port user è mappato a principal.user.user_display_name metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library version: OpenSSL 1.1.1 11 set 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | AGGIORNAMENTO DELLO STATO | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" il messaggio è mappato a (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
AGGIORNAMENTO STATO | principal.platform è impostato su "LINUX" target_ip è mappato a target.ip target_port è mappato a target.port la gravità è mappata a security_result.severity timestamp è mappato a metadata.timestamp metadata.vendor_name impostato su OpenVPN metadata.product_name è impostato su OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTO16245 [mohit_AUTO16245] Connessione con peer avviata con [9AF206I0.NET0.1] | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") il messaggio è mappato a <message_text>with[<message_text>]<message_text>:{port}<message_text> |
AGGIORNAMENTO DELLO STATO | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity metadata.vendor_name è impostato su OpenVPN metadata.product_name è impostato su OpenVPN Access Server principal.platform è impostato su Linux target_ip è mappato a target.ip target_port è mappato a target.port target_hostname è mappato a target.hostname intermediary_ip è mappato a intermediary.ip |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530. (stato=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_facoltativo>'|")<message_text>{utente}\/{ip}:{message}(<campo_facoltativo>'|") | AGGIORNAMENTO STATO | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity Il messaggio è mappato a metadata.description L'utente è mappato a target.hostname IP è mappato a target.ip la porta è mappata a taregt.port metadata.vendor_name è impostato su OpenVPN metadata.product_name è impostato su OpenVPN Access Server principal.platform è impostato su Linux |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | AGGIORNAMENTO STATO | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description summary è mappato a security_result.summary user_name è mappato a principal.user.user_display_name cli è mappato a principal.process.command_line lo stato è mappato a principal.user.user_authentication_status metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - L'accesso alla chiave di configurazione '[filterNames]' tramite la notazione a punti è deprecato e verrà rimosso in una release futura. Utilizza "config.getProperty(key, targetClass)" . | [{timestamp}]{severity}{summary}\-{security_description}
, in {command_line}\({file_path}:<message_text>\) |
AGGIORNAMENTO DELLO STATO | command_line è mappato a "target.process.command_line"
file_path è mappato a "target.process.file.full_path" timestamp è mappato a "metadata.event_timestamp" La gravità è mappata a "security_result.severity" il riepilogo è mappato a "security_result.summary" security_description è mappato a "security_result.description" metadata.product_name è impostato su "FLUENTD" metadata.vendor_name è impostato su "FLUENTD" |
| /var/log/auth.log | 4 lug 19:26:19 Ubuntu18 systemd-logind[982]: rimossa la sessione 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | il timestamp è mappato a "metadata.timestamp" principal_hostname viene mappato a target.hostname se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.hostname principal_application è mappata a target.application se il valore è "USER_LOGOUT" altrimenti è mappato a "principal.application" pid è mappato a target.process.pid se il valore è "USER_LOGOUT" altrimenti è mappato a principal.process.pid. security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" principal_user_userid è mappato a principal.user.userid se il valore è "USER_LOGOUT" altrimenti è mappato a target.user.userid. "principal.platform" sia impostato su "LINUX" Se l'evento security_description è "Sessione rimossa", allora event_type è impostato su USER_LOGOUT. extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/auth.log | 27 giu 11:07:17 Ubuntu18 systemd-logind[804]: Nuova sessione 564 dell'utente root. | {timestamp} {principal_hostname}{principal_application}(<campo_facoltativo>[{pid}]):{security_description}{network_session_id}?(dell'utente {principal_user_userid})? | USER_LOGIN | timestamp è mappato a "metadata.timestamp" principal_hostname viene mappato a target.hostname se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.hostname principal_application è mappata a target.application se il valore è "USER_LOGOUT" altrimenti è mappato a "principal.application" pid è mappato a target.process.pid se il valore è "USER_LOGOUT" altrimenti è mappato a principal.process.pid. security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" principal_user_userid è mappato a principal.user.userid se il valore è "USER_LOGOUT" altrimenti è mappato a target.user.userid. "principal.platform" sia impostato su "LINUX" "network.application_protocol" è mappato a "SSH" if(new_session) event_type è impostato su USER_LOGIN extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/auth.log | 27 giu 11:07:17 Ubuntu18 sshd[9349]: Password accettata per root da 198.51.100.1 porta 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | timestamp è mappato a "metadata.timestamp" principal_hostname viene mappato a target.hostname se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.hostname principal_application è mappata a target.application se il valore è "USER_LOGOUT" altrimenti è mappato a "principal.application" pid è mappato a target.process.pid se il valore è "USER_LOGOUT" altrimenti è mappato a principal.process.pid. security_description è mappato a "security_result.description" principal_user_userid è mappato a principal.user.userid se il valore è "USER_LOGOUT" altrimenti è mappato a target.user.userid. principal_ip è mappato a "principal.ip" principal_port è mappato a "principal.port" security_result_detection_fields_ssh_kv è mappato a "security_result.detection_fields.key/value" security_result_detection_fields_kv è mappato a "security_result.detection_fields.key/value" "principal.platform" sia impostato su "LINUX" "network.application_protocol" sia impostato su "SSH" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/auth.log | Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | AGGIORNAMENTO DELLO STATO | timestamp è mappato a metadata.timestamp principal_hostname è mappato a principal.hostname principal_application è mappato a principal.application pid è mappato a principal.process.pid principal_user_userid è mappato a target.user.userid security_description è mappato a "security_result.description" principal_process_command_line_1 è mappato a "principal.process.command_line" principal_process_command_line_2 è mappato a "principal.process.command_line" principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" sia impostato su "LINUX" |
| /var/log/auth.log | 4 lug 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sessione aperta per utente root da (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | il timestamp è mappato a metadata.timestamp principal_hostname è mappato a target.hostname se il valore è "USER_LOGOUT" altrimenti è mappato a principal.hostname principal_application è mappata a target.application se il valore è "USER_LOGOUT" altrimenti è mappato a "principal.application" pid è mappato a target.process.pid se il valore è "USER_LOGOUT" altrimenti è mappato a principal.process.pid. security_description è mappato a "security_result.description" principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" è impostato su "LINUX" "network.application_protocol" sia impostato su "SSH" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/auth.log | 4 lug 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | timestamp è mappato a metadata.timestamp principal_hostname è mappato a target.hostname se il valore è "USER_LOGOUT" altrimenti è mappato a principal.hostname principal_application è mappata a target.application se il valore è "USER_LOGOUT" altrimenti è mappato a "principal.application" pid è mappato a target.process.pid se il valore è "USER_LOGOUT" altrimenti è mappato a principal.process.pid. security_description è mappato a "security_result.description" principal_user_userid è mappato a principal.user.userid se il valore è "USER_LOGOUT" altrimenti è mappato a target.user.userid. principal_user_attribute_labels_uid_kv è mappato a principal.user.attribute.labels.key/value "principal.platform" è impostato su "LINUX" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/auth.log | 30 giu 11:32:26 Ubuntu18 sshd[29425]: connessione reimpostata autenticando la porta 198.51.100.1 della root dell'utente 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | timestamp è mappato a metadata.timestamp principal_hostname è mappato a target.hostname se il valore è "USER_LOGOUT" altrimenti è mappato a principal.hostname principal_application è mappata a target.application se il valore è "USER_LOGOUT" altrimenti è mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a security_result.description security_summary è mappato a security_result.summary principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. target_ip è mappato a target.ip target_port è mappato a target.port" principal.platform" sia impostato su "LINUX" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: eliminazione della cache e ricostituzione con il numero di versione 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | AGGIORNAMENTO DELLO STATO | il timestamp è mappato a "metadata.timestamp" pid è mappato a "principal.process.pid" principal_user_attribute_labels_kv è mappato a "principal.user.attribute.labels" principal_group_attribute_labels_kv è mappato a "principal.group.attribute.labels" principal_user_userid è mappato a "principal.user.userid" principal_group_product_object_id è mappato a "principal.group.product_object_id" security_description è mappato a "security_result.description" metadata_description è mappato a "metadata.description" metadata.product_name" sia impostato su "FLUENTD" metadata.vendor_name" sia impostato su "FLUENTD" |
| var/log/samba/log.winbindd | message_dgm_init: associazione non riuscita: spazio sul dispositivo esaurito | {user_id}: {desc} | AGGIORNAMENTO DELLO STATO | metadata.product_name" è impostato su "FLUENTD" metadata.vendor_name" sia impostato su "FLUENTD" user_id è mappato a principal.user.userid desc è mappato a metadata.description |
| /var/log/mail.log | 16 luglio 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | AGGIORNAMENTO DELLO STATO | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/mail.log | 7 luglio 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/mail.log | 7 luglio 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | AGGIORNAMENTO DELLO STATO | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid resource_name è mappato a target.resource.name metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/mail.log | 7 luglio 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (coda attiva) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/mail.log | 7 luglio 13:44:01 prod postfix/smtp[23436]: connessione a gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: la rete non è raggiungibile | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | AGGIORNAMENTO DELLO STATO | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
| /var/log/mail.log | 7 luglio 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" |
Controllo
Trasforma i campi del log di controllo in campi UDM.
La tabella seguente elenca i campi del log per il tipo di audit log e i campi UDM corrispondenti.
| Campo log | Campo UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| gruppo | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dati | about.labels.key/value |
| sviluppomaggiore | about.labels.key/value |
| devminor | about.labels.key/value |
| Egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| famiglia | network.ip_protocol è impostato su "IP6IN4" se "ip_protocol" == 2, altrimenti è impostato su "UNKNOWN_IP_PROTOCOL" |
| filetype | target.file.mime_type |
| Fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nome host | target.hostname |
| icmptype | network.ip_protocol è impostato su "ICMP" |
| ID | Se [audit_log_type] == "ADD_USER", target.user.userid è impostato su "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id è impostato su "%{id}" altrimenti target.user.attribute.labels.key/value è impostato su id |
| inode | target.resource.product_object_id |
| chiave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| modalità | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| nuova rete | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| ossa | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| percorso | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol è impostato su "IP6IN4"
altrimenti network.ip_protocol è impostato su "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| risultato | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgido | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| operazione riuscita | Se success=='yes', security_result.summary viene impostato su 'system call was successful' altrimenti security_result.summary viene impostato su 'systemcall was failed' |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminale | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid è impostato su principal.user.userid
altrimenti uid è impostato su target.user.userid |
| vm | target.resource.name |
Audit log da tipi di evento UDM
Nella tabella seguente sono elencati i tipi di audit log e i tipi di eventi UDM corrispondenti.
| Tipo di audit log | Tipo di evento UDM | Descrizione |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Si attiva quando viene aggiunto un gruppo dello spazio utente. |
| ADD_USER | USER_CREATION | Si attiva quando viene aggiunto un account utente dello spazio utente. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Si attiva quando un processo termina in modo anomalo (con un segnale che potrebbe causare un core dump, se abilitato). |
| AVC | GENERIC_EVENT | Attivazione della registrazione di un controllo delle autorizzazioni SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene modificata la configurazione del sistema di controllo. |
| CRED_ACQ | USER_LOGIN | Si attiva quando un utente acquisisce le credenziali dello spazio utente. |
| CRED_DISP | USER_LOGOUT | Si attiva quando un utente elimina le credenziali dello spazio utente. |
| CRED_REFR | USER_LOGIN | Si attiva quando un utente aggiorna le credenziali dello spazio utente. |
| CRYPTO_KEY_USER | ACCESSO_RISORSE_UTENTE | Attivazione della registrazione dell'identificatore della chiave di crittografia utilizzato per scopi crittografici. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Si attiva per registrare i parametri impostati durante la creazione di una sessione TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Attivato per registrare la directory di lavoro corrente. |
| DAEMON_ABORT | PROCESS_TERMINATION | Si attiva quando un daemon viene arrestato a causa di un errore. |
| DAEMON_END | PROCESS_TERMINATION | Si attiva quando un demone viene interrotto correttamente. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Viene attivato quando il daemon auditd riprende la registrazione. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Si attiva quando il daemon controllato ruota i file di audit log. |
| DAEMON_START | PROCESS_LAUNCH | Si attiva quando viene avviato il daemon controllato. |
| DEL_GROUP | GROUP_DELETION | Si attiva quando un gruppo dello spazio utente viene eliminato |
| In attesa | USER_DELETION | Si attiva quando viene eliminato un utente dello spazio utente |
| EXECVE | PROCESS_LAUNCH | Attivazione della registrazione degli argomenti della chiamata di sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Viene attivato quando un valore booleano SELinux viene modificato. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Viene attivato per registrare informazioni su un evento IPSec, quando viene rilevato o quando la configurazione IPSec cambia. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Viene attivato quando viene caricato un file di criteri SELinux. |
| MAC_STATUS | GENERIC_EVENT | Si attiva quando la modalità SELinux (applicazione, permissiva, disattivata) viene modificata. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Si attiva quando viene aggiunta un'etichetta statica quando si utilizzano le funzionalità di etichettatura dei pacchetti del kernel fornite da NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Viene attivato quando vengono rilevate modifiche alla catena Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Si attiva per registrare informazioni su un processo a cui viene inviato un segnale. |
| PERCORSO | FILE_OPEN/GENERIC_EVENT | Viene attivato per registrare le informazioni sul percorso del nome file. |
| SELINUX_ERR | GENERIC_EVENT | Si attiva quando viene rilevato un errore SELinux interno. |
| SERVICE_START | SERVICE_START | Si attiva quando viene avviato un servizio. |
| SERVICE_STOP | SERVICE_STOP | Si attiva quando un servizio viene interrotto. |
| SISTEMA DI SICUREZZA | GENERIC_EVENT | Viene attivato per registrare una chiamata di sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Si attiva all'avvio del sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Viene attivato quando il livello di esecuzione del sistema viene modificato. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Si attiva quando il sistema viene arrestato. |
| USER_ACCT | SETTING_MODIFICATION | Si attiva quando viene modificato un account utente dello spazio utente. |
| USER_AUTH | USER_LOGIN | Si attiva quando viene rilevato un tentativo di autenticazione nello spazio utente. |
| USER_AVC | USER_UNCATEGORIZED | Si attiva quando viene generato un messaggio AVC nello spazio utente. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene modificato un attributo dell'account utente. |
| USER_CMD | USER_COMMUNICATION | Si attiva quando viene eseguito un comando shell dello spazio utente. |
| USER_END | USER_LOGOUT | Si attiva quando una sessione nello spazio utente viene terminata. |
| USER_ERR | USER_UNCATEGORIZED | Si attiva quando viene rilevato un errore di stato dell'account utente. |
| USER_LOGIN | USER_LOGIN | Si attiva quando un utente esegue l'accesso. |
| USER_LOGOUT | USER_LOGOUT | Si attiva quando un utente si disconnette. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Si attiva quando un daemon nello spazio utente carica un criterio SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Viene attivato per registrare i dati di gestione dello spazio utente. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Si attiva quando il ruolo SELinux di un utente viene modificato. |
| USER_START | USER_LOGIN | Si attiva quando viene avviata una sessione nello spazio utente. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene rilevata una modifica alla configurazione del sistema dello spazio utente. |
| VIRT_CONTROL | STATUS_UPDATE | Si attiva quando una macchina virtuale viene avviata, messa in pausa o arrestata. |
| VIRT_MACHINE_ID | ACCESSO_RISORSE_UTENTE | Viene attivato per registrare l'associazione di un'etichetta a una macchina virtuale. |
| VIRT_RESOURCE | ACCESSO_RISORSE_UTENTE | Viene attivato per registrare l'assegnazione delle risorse di una macchina virtuale. |
Posta
Invia campi del log a campi UDM
La tabella seguente elenca i campi del log per il tipo di log di posta e i campi UDM corrispondenti.
| Campo log | Campo UDM |
|---|---|
| Classe | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Da | network.email.from |
| MSgid | network.email.mail_id |
| Proto | network.application_protocol |
| Inoltro | intermediary.hostname
intermediary.ip |
| Dimensioni | network.received_bytes |
| Statistica | security_result.summary |
| a | network.email.to |
Tipi di log della posta al tipo di evento UDM
La tabella seguente elenca i tipi di log della posta e i relativi tipi di eventi UDM.
| Tipo di log di posta | Tipo di evento UDM |
|---|---|
| sendmail | AGGIORNAMENTO DELLO STATO |
| ritiro | EMAIL_UNCATEGORIZED |
| cleanup | AGGIORNAMENTO STATO |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | AGGIORNAMENTO STATO |
| locale | EMAIL_UNCATEGORIZED |