Fluentd-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie fluentd-Logs durch entsprechende Konfiguration von fluentd erfassen. und Google Security Operations-Forwarder. In diesem Dokument werden auch die unterstützten Logtypen aufgeführt und die unterstützte Fluentd-Version.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Übersicht

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie fluentd auf dem Forwarder- und Aggregator-Server installiert ist, um Logs an Google Security Operations zu senden. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.

Bereitstellungsarchitektur

Das Architekturdiagramm zeigt die folgenden Komponenten:

  • Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem fluenter-Forwarder-Server.

  • Microsoft Windows-System Das zu überwachende Microsoft Windows-System, in dem der fluenter-Forwarder-Server installiert ist.

  • Fluentd-Forwarder. Der Fluentd-Weiterleiter erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den Fluentd-Aggregator weiter.

  • fluentd-Aggregator Der Fluentd-Aggregator empfängt Logs vom Der fluentd-Forwarder und leitet die Logs an den Google Security Operations-Forwarder weiter.

  • Google Security Operations-Forwarder. Der Google Security Operations-Forwarder Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog unterstützt. Der Google Security Operations-Forwarder leitet die Protokolle an Google Security Operations weiter.

  • Google Security Operations Google Security Operations speichert und analysiert die Logs den Fluentd-Aggregator.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten normalisiert in das strukturierte UDM-Format. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel FLUENTD.

Hinweise

  • Achten Sie darauf, dass der fluentd-Forwarder auf den Microsoft Windows- oder Linux-Systemen installiert ist, die die Sie überwachen möchten. Weitere Informationen zur Installation des Fluentd-Forwarders finden Sie im Abschnitt zur Installation von Fluentd.

  • Verwenden Sie eine Fluentd-Version, die vom Google Security Operations-Parser unterstützt wird. Google Security Operations Der Parser unterstützt die Fluentd-Version 1.0.

  • Der Fluentd-Aggregator muss auf dem zentralen Linux-Server installiert und konfiguriert sein.

  • Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur konfiguriert sind in der Zeitzone UTC angegeben.

  • Prüfen Sie die Logtypen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die vom Google Security Operations-Parser unterstützten Produkte und Protokolldateipfade aufgeführt:

    Betriebssystem Produkt Protokolldateipfad
    Microsoft Windows Microsoft Windows Ereignisprotokolle
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux Rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Fluentd-Forwarder und ‑Aggregator sowie Google Security Operations-Forwarder konfigurieren

  1. Wenn Sie die von den Linux-Systemen generierten Logs überwachen möchten, erstellen Sie eine td-agent.conf-Datei, um das Logmonitoring anzugeben. Konfiguration für den Fluentd-Forwarder. Hier ist eine Beispielkonfigurationsdatei für den fluentd-Forwarder auf dem Linux-System:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. Wenn Sie die von den Microsoft Windows-Systemen generierten Protokolle überwachen möchten, erstellen Sie eine td-agent.conf-Datei, um die Protokollüberwachungskonfiguration für den Fluentd-Weiterleiter anzugeben. Hier ist ein Beispiel Konfigurationsdatei für den Fluentd-Forwarder auf dem Microsoft Windows-System:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. Wenn Sie die Protokolle vom Fluentd-Aggregator an den Google Security Operations-Weiterleiter weiterleiten möchten, erstellen Sie eine Konfigurationsdatei im folgenden Format:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. Google Security Operations-Weiterleitung zum Senden von Logs konfigurieren Google Security Operations Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

Feldzuordnungsreferenz

In diesem Abschnitt wird erläutert, wie der Parser Grok-Muster für Linux- und Microsoft Windows-Systeme und die Zuordnung von Fluentd-Logfeldern zu Google Security Operations Unified Data Model-Feldern (UDM) für jeden Logtyp.

Informationen zur Zuordnungsreferenz für allgemeine Felder finden Sie unter Allgemeine Felder.

Referenzinformationen über Log-Pfade, Grob-Muster für Beispiel-Logs, Ereignistypen, finden Sie in den folgenden Abschnitten:

Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern Siehe Microsoft Windows-Ereignisdaten

Allgemeine Felder

In der folgenden Tabelle sind die gängigen Protokollfelder und die entsprechenden UDM-Felder aufgeführt.

Gemeinsames Logfeld UDM-Feld
collected_time metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname oder principal.hostname
inner_message.path event_source

Linux-System

In der folgenden Tabelle sind die Logpfade für das Linux-System, grok-Muster für Beispiellogs, Ereignistyp und UDM-Zuordnungen:

Pfad zum Protokoll Beispiellog Grok-Muster Ereignistyp UDM-Zuordnung
/var/log/apache2/error.log [Do, 28. April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] konnte keine Verbindung herstellen [{timestamp}][{log_module}:{log_level}][pid{pid}(&lt;optional_field&gt;:tid{tid}|)](&lt;optional_field&gt; [client {client_ip}:{client_port}]|) (?&lt;error_message&gt;.*) NETWORK_UNCATEGORIZED

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

log_module ist target.resource.name zugeordnet

log_level ist security_result.severity zugeordnet

"pid" wird "target.process.parent_process.pid" zugeordnet.

tid wird target.process.pid zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

„client_port“ ist „principal.port“ zugeordnet

error_message wird security_result.description zugeordnet

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/error.log [Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen [{timestamp}][{log_module}:{severity}][pid{pid}(&lt;optional_field&gt;:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

log_module ist target.resource.name zugeordnet

log_level ist security_result.severity zugeordnet

"pid" wird "target.process.parent_process.pid" zugeordnet.

„tid“ ist „target.process.pid“ zugeordnet.

error_message wird security_result.description zugeordnet

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/error.log [Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Befehlszeile: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(&lt;optional_field&gt;:tid{tid}|)](&lt;optional_field&gt; [client {client_ip}:{client_port}]|) (?&lt;error_message&gt;.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

log_module ist target.resource.name zugeordnet

log_level ist security_result.severity zugeordnet

"pid" wird "target.process.parent_process.pid" zugeordnet.

tid wird target.process.pid zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

„client_port“ ist „principal.port“ zugeordnet

error_message wird security_result.description zugeordnet

target.platform ist auf "LINUX" festgelegt

„referer_url“ ist „network.http.referral_url“ zugeordnet.

/var/log/apache2/error.log [So. Jan. 30.15.15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH011191: HTTP: Verbindung zu Backend konnte nicht hergestellt werden. 2. [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

log_module ist target.resource.name zugeordnet

log_level ist security_result.severity zugeordnet

"pid" wird "target.process.parent_process.pid" zugeordnet.

tid wird target.process.pid zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

„client_port“ ist „principal.port“ zugeordnet

error_message wird security_result.description zugeordnet

„target_ip“ ist „target.ip“ zugeordnet.

„referer_url“ ist „network.http.referral_url“ zugeordnet.

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]&lt;message_text&gt;connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

„timestamp“ wird „metadata.event_timestamp“ zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

„client_port“ ist „principal.port“ zugeordnet

connection_id ist network.session_id zugeordnet.

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [Anfrage: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]&lt;message_text&gt;request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

„client_port“ ist „principal.port“ zugeordnet

"pid" wird "target.process.parent_process.pid" zugeordnet.

connection_id ist network.session_id zugeordnet.

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: Die Datei /usr/local/apache2/htdocs/favicon.ico existiert nicht [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[Client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

log_level ist security_result.severity zugeordnet

request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

„client_port“ ist „principal.port“ zugeordnet

"pid" wird "target.process.parent_process.pid" zugeordnet.

connection_id ist network.session_id zugeordnet.

error_message wird security_result.description zugeordnet

file_path ist target.file.full_path zugeordnet.

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36 ({client_ip})?&lt;message_text&gt;{userid}[{timestamp}](&lt;optional_field&gt;{method}/(&lt;optional_field&gt;{resource}?) {client_protocol}?){result_status}{object_size}(&lt;optional_field&gt;(&lt;optional_field&gt;{referer_url}?)(&lt;optional_field&gt;{user_agent}?)? NETWORK_HTTP

„client_ip“ ist „principal.ip“ zugeordnet

userid ist principal.user.userid zugeordnet

Host ist principal.hostname zugeordnet.

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

„method“ ist „network.http.method“ zugeordnet.

Ressource ist principal.resource.name zugeordnet

"client_protocol" ist "network.application_protocol" zugeordnet.

result_status ist network.http.response_code zugeordnet.

„object_size“ wird „network.sent_bytes“ zugeordnet.

„referer_url“ ist „network.http.referral_url“ zugeordnet.

user_agent ist network.http.user_agent zugeordnet.

network.ip_protocol ist auf "TCP" festgelegt

network.direction ist auf „OUTBOUND“ festgelegt.

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

var/log/apache2/other_vhosts_access.log wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} – (<optional_field>{host}?) [{timestamp}](&lt;optional_field&gt;{method}/(&lt;optional_field&gt;{resource}?){client_protocol}?){result_status}{object_size}(&lt;optional_field&gt;{referer_url}?)(&lt;optional_field&gt;{user_agent}?) NETWORK_HTTP target_host ist target.hostname zugeordnet.

target_port ist target.port zugeordnet.

„client_ip“ ist „principal.ip“ zugeordnet

userid ist principal.user.userid zugeordnet

Host ist principal.hostname zugeordnet.

Der Zeitstempel wird metadata.event_timestamp zugeordnet.

„method“ ist „network.http.method“ zugeordnet.

resource wird principal.resource.name zugeordnet

result_status ist network.http.response_code zugeordnet.

„object_size“ wird „network.sent_bytes“ zugeordnet.

„referer_url“ ist „network.http.referral_url“ zugeordnet.

user_agent ist network.http.user_agent zugeordnet.

network.ip_protocol ist auf "TCP" festgelegt

network.direction ist auf „OUTBOUND“ festgelegt.

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

network.application_protocol ist auf "HTTP" gesetzt

var/log/apache2/novnc-server-access.log wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} – (<optional_field>{host}?) [{timestamp}](&lt;optional_field&gt;{method}/(&lt;optional_field&gt;{resource}?){client_protocol}?){result_status}{object_size}(&lt;optional_field&gt;{referer_url}?)(&lt;optional_field&gt;{user_agent}?) NETWORK_HTTP

„client_ip“ ist „principal.ip“ zugeordnet

userid ist principal.user.userid zugeordnet

wird network.http.method zugeordnet.

Pfad ist target.url zugeordnet.

result_status ist network.http.response_code zugeordnet.

„object_size“ wird „network.sent_bytes“ zugeordnet.

„referer_url“ ist „network.http.referral_url“ zugeordnet.

user_agent ist network.http.user_agent zugeordnet.

network.ip_protocol ist auf "TCP" festgelegt

network.direction ist auf „OUTBOUND“ festgelegt.

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

network.application_protocol ist auf "HTTP" gesetzt

/var/log/apache2/access.log &quot;http://192.0.2.1/test/first.html&quot; -&gt; /google.com (&lt;optional_field&gt;{referer_url}?)-&gt;(&lt;optional_field&gt;{path}?) GENERIC_EVENT

Pfad ist target.url zugeordnet.

„referer_url“ ist „network.http.referral_url“ zugeordnet.

network.direction ist auf „OUTBOUND“ festgelegt.

target.platform ist auf "LINUX" festgelegt

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (&lt;optional_field&gt;{user_agent}) GENERIC_EVENT

user_agent ist network.http.user_agent zugeordnet.

„network.direction“ ist auf „OUTBOUND“ festgelegt

target.platform ist auf "LINUX" festgelegt

network.application_protocol ist auf "HTTP" gesetzt

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name auf „Apache“ festgelegt

metadata.product_name auf „Apache HTTP Server“ festgelegt

var/log/nginx/access.log 192.0.2.1 – admin [05/May/2022:11:53:27 +0530] "GET /icons/Ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36 {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(&lt;optional_field&gt;{resource_name}?|) {protocol}(&lt;message_text&gt;){response_code} {received_bytes}(&lt;optional_field&gt;{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

wird metadata.timestamp zugeordnet.

„ip“ ist „target.ip“ zugeordnet.

principal_ip ist principal.ip zugeordnet

„principal_user_userid“ ist „principal.user.userid“ zugeordnet

metadata_timestamp ist dem Zeitstempel zugeordnet

„http_method“ wird „network.http.method“ zugeordnet.

"resource_name" ist "principal.resource.name" zugeordnet

Protokoll ist network.application_protocol = (HTTP) zugeordnet.

Antwortcode ist network.http.response_code zugeordnet.

"empfangen_bytes" wird "network.sent_bytes" zugeordnet.

„referer_url“ ist „network.http.referral_url“ zugeordnet.

user_agent ist network.http.user_agent zugeordnet.

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name ist auf „NGINX“ festgelegt

metadata.product_name ist auf „NGINX“ festgelegt

network.ip_protocol ist auf "TCP" festgelegt

network.direction ist auf „OUTBOUND“ festgelegt.

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" fehlgeschlagen (2: Datei oder Verzeichnis nicht vorhanden), Client: 192.0.2.1, Server: localhost, Anfrage: \"GET /nginx_status HTTP/1.1\", Host: \"192.0.2.1:8080\" &quot;{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}&quot;

inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1&quot;,host:&quot;({target_ip}:{target_port})?&quot;

"bind() to ({target_ip}|[{target_ip}]):{target_port} fehlgeschlagen ({security_description})",

„\*{cid}{security_description}“,

&quot;{security_description}&quot;

NETWORK_HTTP

Thread_id ist principal.process.pid zugeordnet.

severity wird security_result.severity zugeordnet

(Fehlerbehebung ist UNKNOWN_SEVERITY zugeordnet, Informationen sind INFORMATIONAL zugeordnet, Hinweis ist LOW zugeordnet, Warnung ist MEDIUM zugeordnet, Fehler ist ERROR zugeordnet, Kriterium ist KRITISCH zugeordnet, Benachrichtigung ist HIGH zugeordnet)

„target_file_full_path“ wird „target.file.full_path“ zugeordnet.

principal_ip ist principal.ip zugeordnet

"target_hostname" wird "target.hostname" zugeordnet

http_method ist network.http.method zugeordnet.

"resource_name" ist "principal.resource.name" zugeordnet

Protokoll "TCP" zugeordnet ist,

target_ip ist target.ip zugeordnet

target_port ist target.port zugeordnet.

security_description + security_result_description_2 ist security_result.description zugeordnet.

pid wird principal.process.parent_process.pid zugeordnet.

network.application_protocol ist auf "HTTP" gesetzt

Der Zeitstempel wird {year}/{day}/{month} {time} zugeordnet.

target.platform ist auf "LINUX" festgelegt

metadata.vendor_name ist auf „NGINX“ festgelegt

metadata.product_name ist auf „NGINX“ festgelegt

network.ip_protocol ist auf "TCP" festgelegt

network.direction ist auf „OUTBOUND“ festgelegt.

var/log/rkhunter.log [14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen [&lt;message_text&gt;]{security_description} Statusaktualisierung

wird metadata.timestamp zugeordnet.

security_description wird security_result.description zugeordnet

„principal.platform“ ist auf „LINUX“ festgelegt

„metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt

metadata.product_name ist auf „RootKit Hunter“ festgelegt

var/log/rkhunter.log [14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description ist metadata.description zugeordnet.

file_path ist target.file.full_path zugeordnet.

security_description wird security_result.description zugeordnet

„principal.platform“ ist auf „LINUX“ festgelegt

„metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt

metadata.product_name ist auf „RootKit Hunter“ festgelegt

var/log/rkhunter.log fluentd: Dateigröße verringert (Inode blieb): '/var/log/rkhunter.log'. (&lt;optional_field&gt;&lt;message_text&gt;:){metadata_description}:&#39;{file_path}&#39; FILE_UNCATEGORIZED

„time“ wird „metadata.timestamp“ zugeordnet.

metadata_description ist metadata.description zugeordnet.

file_path ist target.file.full_path zugeordnet.

„principal.platform“ ist auf „LINUX“ festgelegt

„metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt

metadata.product_name ist auf „RootKit Hunter“ festgelegt

/var/log/kern.log 28. Apr 12:41:35 localhost Kernel: [ 5079.912215] ctnetlink v0.93: Registrierung bei nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[&lt;message_text&gt;]{metadata_description} STATUSAKTUALISIERUNG

Der Zeitstempel wird „metadata.event_timestamp“

principal_hostname wird „principal.hostname“ zugeordnet

metadata_product_event_type ist "metadata.product_event_type" zugeordnet

metadata_description wird "metadata.description" zugeordnet.

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

„principal.platform“ ist auf „LINUX“ festgelegt

/var/log/kern.log 6. Juli 11:17:01 Ubuntu18-Kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE

Der Zeitstempel wird „metadata.event_timestamp“

principal_hostname wird „principal.hostname“ zugeordnet

metadata_product_event_type ist "metadata.product_event_type" zugeordnet

„principal_asset_hardware_cpu_model“ ist „principal.asset.hardware.cpu_model“ zugeordnet

„metadata_description“ wird „metadata.description“ zugeordnet

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

„principal.platform“ ist auf „LINUX“ festgelegt

"cpu_model" ist "principal.asset.hardware.cpu_model" zugeordnet

/var/log/syslog.log 24. Mai 10:30:42 Ubuntu18 systemd[1]: Sitzung 112 des Nutzers kajal gestartet. {collected_timestamp}{hostname}{command_line}(&lt;optional_field&gt;[{pid}]):{message} STATUS_UPDATE

„collection_time“ ist „metadata.event_timestamp“ zugeordnet.

Hostname wird principal.hostname zugeordnet

pid wird principal.process.pid zugeordnet.

„message“ wird „metadata.description“ zugeordnet.

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

„principal.platform“ ist auf „LINUX“ festgelegt

Die Befehlszeile wird principal.process.command_line zugeordnet.

/var/log/syslog.log Jul 06 10:14:37 Ubuntu18 rsyslogd: Die Nutzer-ID von rsyslogd wurde in 102 geändert. {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

„collected_time“ wird „metadata.collected_timestamp“ zugeordnet

Hostname wird principal.hostname zugeordnet

Nachricht wird metadata.description zugeordnet.

user_id ist principal.user.userid zugeordnet.

„command_line“ wird „principal.process.command_line“ zugeordnet.

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

principal.platform ist auf „LINUX“ festgelegt

/var/log/syslog.log 06.07.18 10:36:48 Ubuntu18 systemd[1]: System Logging Service wird gestartet… {collected_timestamp}{hostname}{command_line}(&lt;optional_field&gt;|[{pid}]):{message} STATUS_UPDATE

„collection_time“ ist „metadata.event_timestamp“ zugeordnet.

Hostname wird principal.hostname zugeordnet

pid wird principal.process.pid zugeordnet.

„message“ wird „metadata.description“ zugeordnet.

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

„principal.platform“ ist auf „LINUX“ festgelegt

Die Befehlszeile wird principal.process.command_line zugeordnet.

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 190.51 mohit_AUTOLOGIN/203.0.113.1:16245 {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

Der Zeitstempel ist metadata.timestamp zugeordnet.

log_level ist security_result.severity zugeordnet

„local_ip“ ist principal.ip zugeordnet

target_ip ist target.ip zugeordnet

target_hostname wird principal.hostname zugeordnet

port ist target.port zugeordnet

user wird principal.user.user_display_name zugeordnet

metadata.vendor_name ist auf „OpenVPN“ festgelegt.

metadata.product_name ist auf „OpenVPN Access Server“ festgelegt.

„principal.platform“ ist auf „LINUX“ festgelegt

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Library-Versionen: OpenSSL 1.1.1, 11. September 2018, LZO 2.08 {timestamp}[stdout#{log_level}][OVPN &lt;message_text&gt;]OUT:(&lt;optional_field&gt;&#39;|&quot;)&lt;message_text&gt;{msg}(&lt;optional_field&gt;&#39;|&quot;) Statusaktualisierung

Der Zeitstempel ist metadata.timestamp zugeordnet.

log_level ist security_result.severity zugeordnet

msg wird security_result.description zugeordnet

metadata.vendor_name auf "OpenVPN" festgelegt

metadata.product_name ist auf „OpenVPN Access Server“ festgelegt.

„principal.platform“ ist auf „LINUX“ festgelegt

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|"

Nachricht ist zugeordnet zu (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

Statusaktualisierung

„principal.platform“ ist auf „LINUX“ festgelegt

target_ip ist target.ip zugeordnet

target_port ist target.port zugeordnet.

severity wird security_result.severity zugeordnet

Der Zeitstempel ist metadata.timestamp zugeordnet.

metadata.vendor_name ist auf „OpenVPN“ festgelegt

metadata.product_name ist auf OpenVPN Access Server festgelegt

var/log/openvpnas.log

{timestamp}[stdout#{log_level}][OVPN &lt;message_text&gt;]OUT:(&lt;optional_field&gt;&#39;|&quot;)&lt;message_text&gt;{message}(&lt;optional_field&gt;&#39;|&quot;)

Die Nachricht wird mit <message_text>with[<message_text>]<message_text>:{port}<message_text> abgeglichen.

STATUSAKTUALISIERUNG

Der Zeitstempel ist metadata.timestamp zugeordnet.

log_level ist security_result.severity zugeordnet

metadata.vendor_name auf OpenVPN festgelegt

metadata.product_name ist auf OpenVPN Access Server festgelegt

principal.platform ist auf Linux festgelegt

„target_ip“ ist „target.ip“ zugeordnet.

target_port ist target.port zugeordnet.

"target_hostname" wird "target.hostname" zugeordnet

„intermediary_ip“ ist „intermediary.ip“ zugeordnet.

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'|")<message_text>{user}\/{ip}:{message}(<optionales_Feld>'|") Statusaktualisierung

Der Zeitstempel ist metadata.timestamp zugeordnet.

log_level ist security_result.severity zugeordnet

Nachricht wird metadata.description zugeordnet.

„user“ ist „target.hostname“ zugeordnet.

IP-Adresse ist target.ip zugeordnet

Port ist taregt.port zugeordnet.

metadata.vendor_name auf OpenVPN festgelegt

metadata.product_name ist auf OpenVPN Access Server festgelegt

principal.platform ist auf Linux festgelegt

var/log/openvpnas.log {timestamp}[stdout#{log_level}]{summary}{&#39;&lt;message_text&gt;&#39;:({status})?&#39;&lt;message_text&gt;&#39;:({user})?&#39;&lt;message_text&gt;&#39;:({reason})?&lt;message_text&gt;}, &#39;common_name&#39;:&#39;{user_name}&#39;&lt;message_text&gt;}cli=&#39;{cli}&#39; Statusaktualisierung

Der Zeitstempel ist metadata.timestamp zugeordnet.

log_level ist security_result.severity zugeordnet

„message“ wird „security_result.description“ zugeordnet.

summary ist security_result.summary zugeordnet

„user_name“ wird „principal.user.user_display_name“ zugeordnet.

cli ist principal.process.command_line zugeordnet.

Der Status wird principal.user.user_authentication_status zugeordnet.

metadata.vendor_name auf "OpenVPN" festgelegt

metadata.product_name ist auf „OpenVPN Access Server“ festgelegt.

„principal.platform“ ist auf „LINUX“ festgelegt

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap – Zugriff auf Konfigurationsschlüssel „[filterNames]“ über Punktnotation wurde eingestellt und wird in einer zukünftigen Version entfernt. "config.getProperty(key, targetClass)" verwenden . [{timestamp}]{severity}{summary}\-{security_description}

, bei {command_line}\({file_path}:<message_text>\)

Statusaktualisierung Die Befehlszeile wird "target.process.command_line" zugeordnet.

file_path wird "target.process.file.full_path" zugeordnet.

Der Zeitstempel wird „metadata.event_timestamp“

Schweregrad wird „security_result.severity“ zugeordnet

Zusammenfassung wird „security_result.summary“ zugeordnet

security_description wird "security_result.description" zugeordnet

metadata.product_name ist auf „FLUENTD“ festgelegt

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

/var/log/auth.log 4. Juli 19:26:19 Ubuntu18 systemd-logind[982]: removed session 153. {timestamp} {principal_hostname}{principal_application}(<optionales_Feld>[{pid}]):{security_description}{network_session_id}?(des Nutzers {principal_user_userid})? USER_LOGOUT

Der Zeitstempel wird „metadata.timestamp“

„principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet.

principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet.

pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet.

security_description wird "security_result.description" zugeordnet

„network_session_id“ wird „network.session_id“ zugeordnet.

„principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet.

„principal.platform“ ist auf „LINUX“ festgelegt

Wenn das Ereignis security_description auf "Removed" (Sitzung) gesetzt ist, wird "event_type" auf "USER_LOGOUT" gesetzt.

„extensions.auth.type“ ist auf „AUTHTYPE_UNSPECIFIED“ festgelegt

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/auth.log 27. Juni 11:07:17 Ubuntu18 systemd-logind[804]: Neue Sitzung 564 des Stammverzeichnisses des Nutzers. {timestamp} {principal_hostname}{principal_application}(<optionales_Feld>[{pid}]):{security_description}{network_session_id}?(des Nutzers {principal_user_userid})? USER_LOGIN

Der Zeitstempel wird „metadata.timestamp“

„principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet.

principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet.

pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet.

security_description wird "security_result.description" zugeordnet

„network_session_id“ wird „network.session_id“ zugeordnet.

„principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet.

„principal.platform“ ist auf „LINUX“ festgelegt

&quot;network.application_protocol&quot; ist "SSH" zugeordnet

if(new_session) event_type ist auf USER_LOGIN festgelegt

extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt.

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/auth.log Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt; {security_description} für (ungültiger Nutzer)?{principal_user_userid} von {principal_ip} Port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? USER_LOGIN

Der Zeitstempel wird „metadata.timestamp“

„principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet.

principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet.

pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet.

security_description wird "security_result.description" zugeordnet

„principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet.

„principal_ip“ ist „principal.ip“ zugeordnet

„principal_port“ ist „principal.port“ zugeordnet

security_result_detection_fields_ssh_kv ist "security_result.detection_fields.key/value" zugeordnet.

security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet.

„principal.platform“ ist auf „LINUX“ festgelegt

&quot;network.application_protocol&quot; ist auf „SSH“ gesetzt

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/auth.log 28. April 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt; {principal_user_userid} :( {security_description} ;)? TTY=&lt;message_text&gt; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} STATUSAKTUALISIERUNG

„timestamp“ wird „metadata.timestamp“ zugeordnet

„principal_hostname“ ist „principal.hostname“ zugeordnet

„principal_application“ ist „principal.application“ zugeordnet

pid wird principal.process.pid zugeordnet.

„principal_user_userid“ ist „target.user.userid“ zugeordnet.

„security_description“ wird „security_result.description“ zugeordnet.

principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet.

principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet.

„principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet

„principal.platform“ ist auf „LINUX“ festgelegt

/var/log/auth.log 4. Juli 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): Sitzung für Nutzerstamm von (uid=0) geöffnet {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt; {security_description} für (ungültiger Nutzer|Nutzer)?{principal_user_userid}(von (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

Der Zeitstempel ist metadata.timestamp zugeordnet.

„principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet.

principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet.

pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet.

security_description wird "security_result.description" zugeordnet

„principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet.

„principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet

„principal.platform“ ist auf „LINUX“ festgelegt

&quot;network.application_protocol&quot; ist auf „SSH“ gesetzt

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/auth.log 4. Juli 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): Sitzung für Nutzerstamm beendet {timestamp} {principal_hostname}{principal_application}&lt;optional_filed&gt;[{pid}]): {security_description} for (invalid user|user){principal_user_userid} USER_LOGOUT

Der Zeitstempel ist metadata.timestamp zugeordnet.

„principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet.

principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet.

pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet.

security_description wird "security_result.description" zugeordnet

„principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet.

„principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet

„principal.platform“ ist auf „LINUX“ festgelegt

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/auth.log 30. Juni, 11:32:26 Ubuntu18 sshd[29425]: Verbindung zurückgesetzt durch Authentifizierung des Nutzerstamms 198.51.100.1, Port 52518 [preauth] {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}&lt;optional_field&gt;[preauth]|:&lt;text_message&gt;{security_summary}|) USER_LOGOUT

Der Zeitstempel ist metadata.timestamp zugeordnet.

„principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet.

principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet.

pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet.

security_description wird security_result.description zugeordnet

„security_summary“ wird „security_result.summary“ zugeordnet.

„principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet.

target_ip ist target.ip zugeordnet

target_port ist target.port zugeordnet.“

principal.platform&quot; ist auf „LINUX“ festgelegt

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initial_winbindd_cache)initial_winbindd_cache: Cache leeren und mit Versionsnummer 2 neu erstellen {timestamp},{severity}(&lt;optional_field&gt;,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]&lt;message_text&gt;:{security_description} Statusaktualisierung

Der Zeitstempel wird „metadata.timestamp“

Die Prozess-ID ist „principal.process.pid“ zugeordnet.

„principal_user_attribute_labels_kv“ ist „principal.user.attribute.labels“ zugeordnet

„principal_group_attribute_labels_kv“ ist „principal.group.attribute.labels“ zugeordnet

„principal_user_userid“ ist „principal.user.userid“ zugeordnet

principal_group_product_object_id wird „principal.group.product_object_id“ zugeordnet.

security_description wird "security_result.description" zugeordnet

metadata_description wird "metadata.description" zugeordnet.

„metadata.product_name“ ist auf „FLUENTD“ festgelegt

metadata.vendor_name&quot; ist auf „FLUENTD“ festgelegt

var/log/samba/log.winbindd Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf Gerät {user_id}: {desc} Statusaktualisierung

metadata.product_name&quot; ist auf „FLUENTD“ festgelegt

metadata.vendor_name&quot; ist auf „FLUENTD“ festgelegt

user_id ist principal.user.userid zugeordnet.

desc ist metadata.description zugeordnet.

/var/log/mail.log 16. Juli 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6Atw94 Relay.local.sys1mit Ubuntu.deals14.https://www.https://support.google.com/a/answer/160610.22G6AtwH0 {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} Statusaktualisierung

„target_hostname“ wird „target.hostname“ zugeordnet.

Anwendung ist target.application zugeordnet.

„pid“ ist „target.process.pid“ zugeordnet.

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/mail.log 7. Juli 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} EMAIL_UNCATEGORIZED

"target_hostname" wird "target.hostname" zugeordnet

Anwendung ist target.application zugeordnet.

„pid“ ist „target.process.pid“ zugeordnet.

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/mail.log 7. Juli 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt; message-id=&lt;{resource_name}&gt; Statusaktualisierung

„target_hostname“ wird „target.hostname“ zugeordnet.

Anwendung ist target.application zugeordnet.

„pid“ wird target.process.pid zugeordnet.

"resource_name" ist "target.resource.name" zugeordnet

„metadata.vendor_name“ ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/mail.log 7. Juli 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (Warteschlange aktiv) {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} EMAIL_UNCATEGORIZED

"target_hostname" wird "target.hostname" zugeordnet

Anwendung ist target.application zugeordnet.

„pid“ ist „target.process.pid“ zugeordnet.

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/mail.log 7. Juli 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} Statusaktualisierung

„target_hostname“ wird „target.hostname“ zugeordnet.

Anwendung ist target.application zugeordnet.

„pid“ ist „target.process.pid“ zugeordnet.

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

/var/log/mail.log 7. Juli 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>,Relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (an Posteingang gesendet) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

"target_hostname" wird "target.hostname" zugeordnet

Anwendung ist target.application zugeordnet.

„pid“ ist „target.process.pid“ zugeordnet.

metadata.vendor_name ist auf „FLUENTD“ festgelegt

metadata.product_name ist auf „FLUENTD“ festgelegt

Audit

Audit-Log-Felder zu UDM-Feldern

In der folgenden Tabelle sind die Logfelder des Audit-Logtyps aufgeführt und die zugehörigen UDM-Felder.

Logfeld UDM-Feld
Konto target.user.user_display_name
addr principal.ip
arch about.labels.key/value
Auid target.user.userid
Logo: cgroup principal.process.file.full_path
CMD target.process.command_line
comm target.application
cwd target.file.full_path
Daten about.labels.key/value
Devmajor about.labels.key/value
Devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
Familie network.ip_protocol ist auf "IP6IN4" festgelegt wenn „ip_protocol“ == 2, andernfalls ist er auf "UNBEKANNTE_IP-PROTOKOLL"
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
Hostname target.hostname
icmptype network.ip_protocol ist auf "ICMP" festgelegt
id Wenn [audit_log_type] == "ADD_USER", wird target.user.userid auf "%{id}" festgelegt

Wenn [audit_log_type] == "ADD_GROUP", ist target.group.product_object_id auf "%{id}" festgelegt

else target.user.attribute.labels.key/value ist auf id festgelegt

Inode target.resource.product_object_id
Schlüssel security_result.detection_fields.key/value
list security_result.about.labels.key/value
Modus target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

name target.file.full_path
Neues Laufwerk target.resource.name
New-Mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
New-Netz pincipal.mac
new_gid target.group.product_object_id
Oauid target.user.userid
Ocomm target.process.command_line
opid target.process.pid
OSS network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
Ouid target.user.userid
Pfad target.file.full_path
Dauer target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
Proto Wenn [ip_protocol] == 2, ist network.ip_protocol auf "IP6IN4" eingestellt.

else network.ip_protocol ist auf "UNKNOWN_IP_PROTOCOL" festgelegt

Auflösung security_result.summary
result security_result.summary
saddr security_result.detection_fields.key/value
sauid target.user.attribute.labels.key/value
Ses network.session_id
sgid target.group.product_object_id
Sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
Erfolgreich Wenn „success=='yes““, ist security_result.summary auf „Systemaufruf war erfolgreich“ festgelegt else security_result.summary ist auf „systemcall was failed“ gesetzt.
Suid target.user.userid
Syscall about.labels.key/value
Terminal target.labels.key/value
TTY target.labels.key/value
uid Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_id, DEL_USER_LOAD_POLICY] auf USER_USER_CMD, USER_CMD, USER_CMD

sonst ist uid auf target.user.userid festgelegt.

vm target.resource.name

Audit-Logtypen zum UDM-Ereignistyp

In der folgenden Tabelle sind die Audit-Logtypen und die zugehörigen UDM-Ereignistypen aufgeführt.

Audit-Logtyp UDM-Ereignistyp Beschreibung
ADD_GROUP GROUP_CREATION Wird ausgelöst, wenn eine Gruppe für den Nutzerbereich hinzugefügt wird.
ADD_USER USER_CREATION Wird ausgelöst, wenn ein Nutzerkonto für den Nutzerbereich hinzugefügt wird.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Wird ausgelöst, wenn ein Prozess ungewöhnlich endet (mit einem Signal, das, sofern aktiviert, einen Core Dump verursachen könnte)
AVC GENERIC_EVENT Wird zum Aufzeichnen einer SELinux-Berechtigungsprüfung ausgelöst.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Wird ausgelöst, wenn die Systemkonfiguration des Audits geändert wird.
CRED_ACQ USER_LOGIN Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft.
CRED_DISP USER_LOGOUT Wird ausgelöst, wenn ein Nutzer Nutzerbereich-Anmeldedaten löscht.
CRED_REFR USER_LOGIN Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Wird zum Aufzeichnen der kryptografischen Schlüssel-ID für kryptografische Zwecke ausgelöst.
CRYPTO_SESSION PROCESS_TERMINATION Wird ausgelöst, um Parameter zu erfassen, die während des Aufbaus einer TLS-Sitzung festgelegt wurden.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen.
DAEMON_ABORT PROCESS_TERMINATION Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird.
DAEMON_END PROCESS_TERMINATION Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde.
DAEMON_RESUME PROCESS_UNCATEGORIZED Wird ausgelöst, wenn der Auditd-Daemon das Logging fortsetzt.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Wird ausgelöst, wenn der auditd-Daemon die Audit-Logdateien rotiert.
DAEMON_START PROCESS_LAUNCH Wird beim Starten des Auditd-Daemons ausgelöst.
DEL_GROUP GROUP_DELETION Wird ausgelöst, wenn eine Nutzerbereichsgruppe gelöscht wird
Ausstehend USER_DELETION Wird ausgelöst, wenn ein Nutzer im User-Bereich gelöscht wird
EXECVE PROCESS_LAUNCH Wird ausgelöst, um Argumente des execve(2)-Systemaufrufs aufzuzeichnen.
MAC_CONFIG_CHANGE GENERIC_EVENT Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein IPSec-Ereignis erkannt wird oder sich die IPSec-Konfiguration ändert.
MAC_POLICY_LOAD GENERIC_EVENT Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird.
MAC_STATUS GENERIC_EVENT Wird ausgelöst, wenn der SELinux-Modus (erzwingend, moderat, aus) geändert wird.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Wird ausgelöst, wenn bei Verwendung der Paket-Labeling-Funktionen des von NetLabel bereitgestellten Kernels ein statisches Label hinzugefügt wird.
NETFILTER_CFG GENERIC_EVENT Wird ausgelöst, wenn Änderungen an Netfilter-Ketten erkannt werden.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Wird ausgelöst, um Informationen zu einem Prozess aufzuzeichnen, an den ein Signal gesendet wird.
Pfad FILE_OPEN/GENERIC_EVENT Wird zum Aufzeichnen von Dateinamenpfadinformationen ausgelöst.
SELINUX_ERR GENERIC_EVENT Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird.
SERVICE_START SERVICE_START Wird ausgelöst, wenn ein Dienst gestartet wird
SERVICE_STOP SERVICE_STOP Wird ausgelöst, wenn ein Dienst beendet wird.
SYSCALL GENERIC_EVENT Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen.
SYSTEM_BOOT STATUS_STARTUP Wird beim Hochfahren des Systems ausgelöst.
SYSTEM_RUNLEVEL STATUS_UPDATE Wird ausgelöst, wenn sich der Runlevel des Systems ändert.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Wird ausgelöst, wenn das System heruntergefahren wird.
USER_ACCT SETTING_MODIFICATION Wird ausgelöst, wenn ein Nutzerkonto für einen Nutzerbereich geändert wird.
USER_AUTH USER_LOGIN Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird.
USER_AVC USER_UNCATEGORIZED Wird ausgelöst, wenn eine AVC-Nachricht im Nutzerbereich generiert wird.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Wird ausgelöst, wenn ein Nutzerkontoattribut geändert wird.
USER_CMD USER_COMMUNICATION Wird ausgelöst, wenn ein Shell-Befehl für den Nutzerbereich ausgeführt wird.
USER_END USER_LOGOUT Wird ausgelöst, wenn eine User-Bereich-Sitzung beendet wird.
USER_ERR USER_UNCATEGORIZED Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird.
USER_LOGIN USER_LOGIN Wird ausgelöst, wenn sich ein Nutzer anmeldet
USER_LOGOUT USER_LOGOUT Wird ausgelöst, wenn sich ein Nutzer abmeldet.
USER_MAC_POLICY_LOAD RESOURCE_READ Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt.
USER_MGMT USER_UNCATEGORIZED Wird zum Aufzeichnen von Daten zur Verwaltung von User-Spaces ausgelöst.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird.
USER_START USER_LOGIN Wird ausgelöst, wenn eine User-Space-Sitzung gestartet wird.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Wird ausgelöst, wenn eine Änderung der Systemkonfiguration für den Nutzerbereich erkannt wird.
VIRT_CONTROL STATUS_UPDATE Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen.
VIRT_RESOURCE USER_RESOURCE_ACCESS Wird zum Aufzeichnen der Ressourcenzuweisung einer virtuellen Maschine ausgelöst.

E-Mail

Logfelder an UDM-Felder senden

In der folgenden Tabelle sind die Protokollfelder des E-Mail-Protokolltyps aufgeführt und die zugehörigen UDM-Felder.

Logfeld UDM-Feld
Klasse about.labels.key/value
Ctladdr principal.user.user_display_name
Von network.email.from
MS-GID network.email.mail_id
Proto network.application_protocol
Relay intermediary.hostname

intermediary.ip

Größe network.received_bytes
Statistik security_result.summary
bis network.email.to

E-Mail-Protokolltypen an UDM-Ereignistyp

In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.

E-Mail-Log-Typ UDM-Ereignistyp
sendmail Statusaktualisierung
Abholung EMAIL_UNCATEGORIZED
cleanup Statusaktualisierung
qmgr EMAIL_UNCATEGORIZED
smtp STATUSAKTUALISIERUNG
lokal EMAIL_UNCATEGORIZED

Nächste Schritte