Coletar registros do Fluentd

Compatível com:

Neste documento, descrevemos como coletar registros do Fluentd configurando o Fluentd e um forwarder de operações de segurança do Google. Este documento também lista os tipos de registro e a versão do Fluentd compatíveis.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Visão geral

O diagrama de arquitetura de implantação a seguir mostra como o Fluentd é instalado no servidor de encaminhamento e no servidor agregador para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e ser mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

  • Sistema Linux. O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no servidor de encaminhamento do Fluentd.

  • Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorado em que o servidor de encaminhamento do Fluentd está instalado.

  • Encaminhador do Fluentd. O encaminhador do Fluentd coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o agregador do Fluentd.

  • Agregador do Fluentd. O agregador do Fluentd recebe registros do encaminhador do Fluentd e os encaminha para o encaminhador do Google Security Operations.

  • Encaminhador do Google Security Operations. O encaminhador de operações de segurança do Google é um componente de software leve, implantado na rede do cliente, que oferece suporte ao syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.

  • Google Security Operations. O Google Security Operations retém e analisa os registros do agregador do Fluentd.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência FLUENTD.

Antes de começar

  • Verifique se o encaminhador do Fluentd está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre a instalação do forwarder do Fluentd, consulte Instalação do Fluentd.

  • Use uma versão do Fluentd compatível com o analisador do Google Security Operations. O analisador de operações de segurança do Google oferece suporte à versão 1.0 do Fluentd.

  • Verifique se o agregador do Fluentd está instalado e configurado no servidor Linux central.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  • Verifique os tipos de registro compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e caminhos de arquivo de registro compatíveis com o analisador de operações de segurança do Google:

    Sistema operacional Produto Caminho do arquivo de registro
    Microsoft Windows Microsoft Windows Logs de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Configurar o encaminhador e o agregador do Fluentd e o encaminhador das operações de segurança do Google

  1. Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Confira um exemplo de arquivo de configuração do encaminhador do Fluentd no sistema Linux:

    <source>
@type tail
path /var/log/nginx/access.log
pos_file /var/log/td-agent/nginx-access.log.pos
tag mytag.nginx.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/nginx/error.log
pos_file /var/log/td-agent/nginx-error.log.pos
tag mytag.nginx.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/access.log
pos_file /var/log/td-agent/apache-access.log.pos
tag mytag.apache.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/error.log
pos_file /var/log/td-agent/apache-error.log.pos
tag mytag.apache.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/audit/audit.log
pos_file /var/log/td-agent/audit.log.pos
tag mytag.audit
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/syslog/syslog.log
pos_file /var/log/td-agent/syslog.log.pos
tag mytag.syslog
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/other_vhosts_access.log
pos_file /var/log/td-agent/vhost.log.pos
tag mytag.apache.other_vhosts_access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/novnc-server-access.log
pos_file /var/log/td-agent/novnc.log.pos
tag mytag.apache.novnc-server-access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/openvpnas.log
pos_file /var/log/td-agent/openvpnas.log.pos
tag mytag.openvpnas
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/auth.log
pos_file /var/log/td-agent/auth.log.pos
tag mytag.auth
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/kern.log
pos_file /var/log/td-agent/kern.log.pos
tag mytag.kern
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rundeck/service.log
pos_file /var/log/td-agent/rundeck.log.pos
tag mytag.rundeck
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/mail.log
pos_file /var/log/td-agent/mail.log.pos
tag mytag.mail
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rkhunter.log
pos_file /var/log/td-agent/rkhunter.log.pos
tag mytag.rkhunter
<parse>
@type none
</parse>
</source>

<source>
@type tail
Path /var/log/samba/log.winbindd
pos_file /var/log/td-agent/winbindd.log.pos
tag mytag.winbindd
<parse>
@type none
</parse>
</source>

<filter  mytag.**>
@type record_transformer
<record>
forwarder_hostname "#{Socket.gethostname}"
</record>
</filter>

<filter  mytag.nginx.access.**>
@type record_transformer
<record>
path "/var/log/nginx/access.log"
</record>
</filter>

<filter  mytag.nginx.error.**>
@type record_transformer
<record>
path "/var/log/nginx/error.log"
</record>
</filter>

<filter  mytag.apache.access.**>
@type record_transformer
<record>
path "/var/log/apache2/access.log"
</record>
</filter>

<filter  mytag.apache.error.**>
@type record_transformer
<record>
path "/var/log/apache2/error.log"
</record>
</filter>

<filter  mytag.audit.**>
@type record_transformer
<record>
path "/var/log/audit/audit.log"
</record>
</filter>

<filter  mytag.syslog.**>
@type record_transformer
<record>
path "/var/log/syslog/syslog.log"
</record>
</filter>

<filter  mytag.apache.other_vhosts_access.**>
@type record_transformer
<record>
path "/var/log/apache2/other_vhosts_access.log"
</record>
</filter>

<filter  mytag.apache.novnc-server-access.**>
@type record_transformer
<record>
path "/var/log/apache2/novnc-server-access.log"
</record>
</filter>

<filter mytag.openvpnas.**>
@type record_transformer
<record>
path "/var/log/openvpnas.log"
</record>
</filter>

<filter mytag.auth.**>
@type record_transformer
<record>
path "/var/log/auth.log"
</record>
</filter>

<filter mytag.kern.**>
@type record_transformer
<record>
path "/var/log/kern.log"
</record>
</filter>

<filter mytag.rundeck.**>
@type record_transformer
<record>
path "/var/log/rundeck/service.log"
</record>
</filter>

<filter mytag.mail.**>
@type record_transformer
<record>
path "/var/log/mail.log"
</record>
</filter>

<filter mytag.rkhunter.**>
@type record_transformer
<record>
path "/var/log/rkhunter.log"
</record>
</filter>

<filter mytag.winbindd.**>
@type record_transformer
<record>
path "/var/log/samba/log.winbindd"
</record>
</filter>

<match mytag.**>
@type forward
# primary host
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
</server>
</match>

  2. Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Confira um exemplo de arquivo de configuração do encaminhador do Fluentd no sistema Microsoft Windows:

    <source>
@type windows_eventlog
@id windows_eventlog
channels application,security,system
read_existing_events true
read_interval 2
tag windows.raw
render_as_xml true
<storage>
@type local
persistent true
path E:\windows.pos
</storage>
</source>
<match windowslog>
@type forward
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
username <AGGREGATOR_USERNAME>
password <AGGREGATOR_PASSWORD>
</server>
</match>

  3. Para encaminhar os registros do agregador do Fluentd para o forwarder das Operações de segurança do Google, crie um arquivo de configuração no seguinte formato:

    <source>
@type forward
port <AGGREGATOR_PORT>
</source>

## Forwarding
<match mytag.**>
@id output_system_forward
@type forward
# IP and port of the forwarder
<server>
 host <CHRONICLE_FORWARDER_HOSTNAME>
 port <CHRONICLE_FORWARDER_PORT>
</server>
</match>

  4. Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o forwarder no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:

    common:
  enabled: true
  data_type: FLUENTD
  batch_n_seconds: 10
  batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
connection_timeout_sec: 60

Referência do mapeamento de campo

Esta seção explica como o analisador aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do Fluentd para campos de Modelo de Dados Unificado (UDM, na sigla em inglês) das Operações de Segurança do Google para cada tipo de registro.

Para informações sobre o mapeamento de referência de campos comuns, consulte Campos comuns.

Para informações de referência sobre caminhos de registro, padrões de grok para exemplos de registros, tipos de eventos e campos de UDM em sistemas Linux, consulte as seguintes seções:

Para informações sobre os eventos do Microsoft Windows aceitos e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.

Campos comuns

A tabela a seguir lista os campos de registro comuns e os campos correspondentes do UDM.

Campo de registro comum Campo de UDM
collected_time metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname ou principal.hostname
inner_message.path event_source

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão Grok para exemplos de registros, o tipo de evento e os mapeamentos de UDM:

Caminho do registro Exemplo de registro Padrão Grok Tipo de evento Mapeamento de UDM
/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] Falha na conexão [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

O carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é associado a security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] Falha na conexão [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

O carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

error_message é associado a security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

O carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é associado a security_result.description

target.platform está definido como "LINUX"

referer_url é mapeado para network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

O carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é associado a security_result.description

target_ip é associado a target.ip

referer_url é mapeado para network.http.referral_url

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sáb 02 de fev de 2019 00:30:55] Nova conexão: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

O carimbo de data/hora é mapeado para metadata.event_timestamp

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sáb 02 de fev de 2019 00:30:55] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

O carimbo de data/hora é mapeado para metadata.event_timestamp

request_id é mapeado para security_result.detection_fields.(chave/valor)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

O pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: O arquivo não existe: /usr/local/apache2/htdocs/favicon.ico [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

O carimbo de data/hora é mapeado para metadata.event_timestamp

log_level é mapeado para security_result.severity

request_id é mapeado para security_result.detection_fields.(chave/valor)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

O pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

error_message é associado a security_result.description

file_path é mapeado para target.file.full_path

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host é mapeado para principal.hostname

O carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

client_protocol é mapeado para network.application_protocol

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP target_host é mapeado para target.hostname

target_port é mapeado para target.port

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host é mapeado para principal.hostname

O carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

network.application_protocol está definido como "HTTP"

var/log/apache2/novnc-server-access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

O método é mapeado para network.http.method

O caminho é mapeado para target.url

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

network.application_protocol está definido como "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

O caminho é mapeado para target.url

referer_url é mapeado para network.http.referral_url

network.direction está definido como "SAÍDA"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent é mapeado para network.http.user_agent

network.direction está definido como "SAÍDA"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/nginx/access.log 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

O horário é mapeado para metadata.timestamp

O IP é mapeado para target.ip

principal_ip é mapeado para principal.ip

principal_user_userid é mapeado para principal.user.userid

metadata_timestamp é associado ao carimbo de data/hora

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

O protocolo é mapeado para network.application_protocol = (HTTP)

response_code é mapeado para network.http.response_code

received_bytes é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 é mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}? {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() para ({target_ip}|[{target_ip}]):{target_port} falhou ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

NETWORK_HTTP

thread_id é mapeado para principal.process.pid

A gravidade é mapeada para security_result.severity

(debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH)

target_file_full_path é mapeado para target.file.full_path

principal_ip é mapeado para principal.ip

target_hostname é mapeado para target.hostname

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

O protocolo é mapeado para "TCP"

target_ip é associado a target.ip

target_port é mapeado para target.port

security_description + security_result_description_2 é mapeado para security_result.description

O pid é mapeado para principal.process.parent_process.pid

network.application_protocol está definido como "HTTP"

O carimbo de data/hora é associado a {year}/{day}/{month} {time}

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

var/log/rkhunter.log [14:10:40] Falha na verificação de comandos obrigatórios [<message_text>]{security_description} ATUALIZAÇÃO DO STATUS

O horário é mapeado para metadata.timestamp

security_description é mapeado para security_result.description

principal.platform está definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Verificando se o arquivo '/dev/.oz/.nap/rkit/terror' existe [ Não encontrado ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

security_description é mapeado para security_result.description

principal.platform está definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log fluentd: o tamanho do arquivo foi reduzido (o inode permaneceu): '/var/log/rkhunter.log'. (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

O horário é mapeado para metadata.timestamp

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

principal.platform está definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

/var/log/kern.log 28 de abril de 12:41:35 Kernel do localhost: [ 5079.912215] ctnetlink v0.93: registro com nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

metadata_description é associado a "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform está definido como "LINUX"

/var/log/kern.log Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE

O carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform está definido como "LINUX"

cpu_model é mapeado para principal.asset.hardware.cpu_model

/var/log/syslog.log 24 de maio 10:30:42 Ubuntu18 systemd[1]: iniciou a sessão 112 do usuário kajal. {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} STATUS_UPDATE

collected_time é mapeado para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

O pid é mapeado para principal.process.pid

A mensagem é mapeada para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform está definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log Jul 06 10:14:37 Ubuntu18 rsyslogd: o userid de rsyslogd foi alterado para 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collected_time é associado a metadata.collected_timestamp

O nome do host é mapeado para principal.hostname

A mensagem é mapeada para metadata.description

user_id é mapeado para principal.user.userid

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform está definido como "LINUX"

/var/log/syslog.log Jul 06 10:36:48 Ubuntu18 systemd[1]: iniciando o serviço de registro do sistema... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time é mapeado para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

O pid é mapeado para principal.process.pid

A mensagem é mapeada para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform está definido como "LINUX"

command_line é mapeado para principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

O carimbo de data/hora é associado a metadata.timestamp

log_level é mapeado para security_result.severity

local_ip é mapeado para principal.ip

target_ip é associado a target.ip

target_hostname é mapeado para principal.hostname

a porta é mapeada para target.port

O usuário é mapeado para principal.user.user_display_name

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform está definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é associado a metadata.timestamp

log_level é mapeado para security_result.severity

msg é mapeado para security_result.description

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform está definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|"

A mensagem é mapeada para (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

ATUALIZAÇÃO DO STATUS

principal.platform está definido como "LINUX"

target_ip é associado a target.ip

target_port é mapeado para target.port

A gravidade é mapeada para security_result.severity

O carimbo de data/hora é associado a metadata.timestamp

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

A mensagem é mapeada para <message_text>with[<message_text>]<message_text>:{port}<message_text>

ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é associado a metadata.timestamp

log_level é mapeado para security_result.severity

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

principal.platform está definido como Linux

target_ip é associado a target.ip

target_port é mapeado para target.port

target_hostname é mapeado para target.hostname

intermediary_ip é mapeado para intermediary.ip

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é associado a metadata.timestamp

log_level é mapeado para security_result.severity

A mensagem é mapeada para metadata.description

O usuário é mapeado para target.hostname

O IP é mapeado para target.ip

A porta é mapeada para taregt.port

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

principal.platform está definido como Linux

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é associado a metadata.timestamp

log_level é mapeado para security_result.severity

A mensagem é mapeada para security_result.description

O resumo é mapeado para security_result.summary

user_name é mapeado para principal.user.user_display_name

A CLI é mapeada para principal.process.command_line

O status é mapeado para principal.user.user_authentication_status

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform está definido como "LINUX"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap: o acesso à chave de configuração "[filterNames]" usando a notação de ponto foi descontinuado e será removido em uma versão futura. Use "config.getProperty(key, targetClass)". [{timestamp}]{severity}{summary}\-{security_description}

, em {command_line}\({file_path}:<message_text>\)

ATUALIZAÇÃO DO STATUS command_line é mapeado para "target.process.command_line"

file_path é mapeado para "target.process.file.full_path"

O carimbo de data/hora é mapeado para "metadata.event_timestamp"

A gravidade é mapeada para "security_result.severity".

O resumo é mapeado para "security_result.summary".

security_description é mapeado para "security_result.description"

metadata.product_name está definido como "FLUENTD"

metadata.vendor_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: sessão 153 removida. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para "principal.application".

O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

Se a security_description do evento for "Sessão removida", o event_type será definido como USER_LOGOUT.

extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 27 de junho 11:07:17 Ubuntu18 systemd-logind[804]: nova sessão 564 do usuário raiz. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para "principal.application".

O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

"network.application_protocol" é mapeado para "SSH"

if(new_session) event_type é definido como USER_LOGIN

extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 27 de junho de 11:07:17 Ubuntu18 sshd[9349]: senha aceita para raiz de 198.51.100.1 porta 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para "principal.application".

O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid.

principal_ip é mapeado para "principal.ip"

principal_port é mapeado para "principal.port"

security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value"

security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 28 de abr. 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é associado a metadata.timestamp

principal_hostname é mapeado para principal.hostname

principal_application é mapeado para principal.application

O pid é mapeado para principal.process.pid

principal_user_userid é mapeado para target.user.userid

security_description é mapeado para "security_result.description"

principal_process_command_line_1 é mapeado para "principal.process.command_line"

principal_process_command_line_2 é mapeado para "principal.process.command_line"

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

/var/log/auth.log Jul 4 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sessão aberta para o usuário raiz por (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

O carimbo de data/hora é associado a metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para "principal.application".

O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sessão fechada para o usuário raiz {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]: {security_description} for (invalid user|user){principal_user_userid} USER_LOGOUT

O carimbo de data/hora é associado a metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para "principal.application".

O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 30 de jun 11:32:26 Ubuntu18 sshd[29425]: a conexão foi redefinida pela autenticação do usuário raiz 198.51.100.1 porta 52518 [preauth] {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

O carimbo de data/hora é associado a metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para "principal.application".

O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid.

security_description é mapeado para security_result.description

security_summary é mapeado para security_result.summary

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid.

target_ip é associado a target.ip

target_port está mapeado para target.port"

principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: limpeza do cache e recriação com o número da versão 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} ATUALIZAÇÃO DO STATUS

O carimbo de data/hora é mapeado para "metadata.timestamp"

O pid é mapeado para "principal.process.pid".

principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels"

principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels"

principal_user_userid é mapeado para "principal.user.userid"

principal_group_product_object_id é mapeado para "principal.group.product_object_id"

security_description é mapeado para "security_result.description"

metadata_description é mapeado para "metadata.description"

metadata.product_name" está definido como "FLUENTD"

metadata.vendor_name" está definido como "FLUENTD"

var/log/samba/log.winbindd messaging_dgm_init: falha na vinculação: não há espaço livre no dispositivo {user_id}: {desc} ATUALIZAÇÃO DO STATUS

metadata.product_name" está definido como "FLUENTD"

metadata.vendor_name" está definido como "FLUENTD"

user_id é mapeado para principal.user.userid

desc é mapeado para metadata.description

/var/log/mail.log 16 de julho 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} ATUALIZAÇÃO DO STATUS

target_hostname é mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> ATUALIZAÇÃO DO STATUS

target_hostname é mapeado para target.hostname

O aplicativo é mapeado para target.application

O pid é mapeado para target.process.pid

resource_name é mapeado para target.resource.name

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/smtp[23436]: conexão com gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: a rede não está acessível {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} ATUALIZAÇÃO DO STATUS

target_hostname é mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

Auditoria

Campos de registro de auditoria para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos correspondentes do UDM.

Campo de registro Campo de UDM
conta target.user.user_display_name
addr principal.ip
arch about.labels.key/value
auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
dados about.labels.key/value
devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
família network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, ele é definido como "UNKNOWN_IP_PROTOCOL".
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
nome do host target.hostname
icmptype network.ip_protocol está definido como "ICMP"
id Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}"

Caso contrário, target.user.attribute.labels.key/value é definido como id.

inode target.resource.product_object_id
chave security_result.detection_fields.key/value
list security_result.about.labels.key/value
modo target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nome target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid
oses network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
ouid target.user.userid
path target.file.full_path
permanente target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4"

Caso contrário, network.ip_protocol é definido como "UNKNOWN_IP_PROTOCOL".

res security_result.summary
result security_result.summary
saddr security_result.detection_fields.key/value
sauid target.user.attribute.labels.key/value
ses network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
sucesso Se success=='yes', security_result.summary é definido como 'system call was successful' Caso contrário, security_result.summary é definido como 'systemcall was failed'
suid target.user.userid
syscall about.labels.key/value
terminal target.labels.key/value
tty target.labels.key/value
uid Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] o uid é definido como principal.user.userid

Caso contrário, o uid é definido como target.user.userid

vm target.resource.name

Tipos de registro de auditoria para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de auditoria e os tipos de evento do UDM correspondentes.

Tipo de registro de auditoria Tipo de evento do UDM Descrição
ADD_GROUP GROUP_CREATION Acionado quando um grupo de espaço do usuário é adicionado.
ADD_USER USER_CREATION Acionado quando uma conta de usuário do espaço do usuário é adicionada.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Acionado quando um processo é encerrado de forma anormal (com um sinal que pode causar um dump de núcleo, se ativado).
AVC GENERIC_EVENT Acionado para registrar uma verificação de permissão do SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Acionado quando a configuração do sistema de auditoria é modificada.
CRED_ACQ USER_LOGIN Acionado quando um usuário adquire credenciais do espaço do usuário.
CRED_DISP USER_LOGOUT Acionado quando um usuário descarta credenciais do espaço do usuário.
CRED_REFR USER_LOGIN Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Acionado para registrar o identificador da chave criptográfica usado para fins criptográficos.
CRYPTO_SESSION PROCESS_TERMINATION Acionado para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT PROCESS_TERMINATION Acionada quando um daemon é interrompido devido a um erro.
DAEMON_END PROCESS_TERMINATION Acionado quando um daemon é interrompido.
DAEMON_RESUME PROCESS_UNCATEGORIZED Acionado quando o daemon auditd retoma o registro.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Acionado quando o daemon auditd rotaciona os arquivos de registro de auditoria.
DAEMON_START PROCESS_LAUNCH Acionado quando o daemon auditd é iniciado.
DEL_GROUP GROUP_DELETION Acionado quando um grupo de espaço do usuário é excluído
Pendente USER_DELETION Acionado quando um usuário do espaço do usuário é excluído
EXECVE PROCESS_LAUNCH Acionado para registrar argumentos da chamada de sistema execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Acionado quando um valor booleano SELinux é alterado.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um evento IPSec quando um é detectado ou quando a configuração do IPSec muda.
MAC_POLICY_LOAD GENERIC_EVENT Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS GENERIC_EVENT Acionado quando o modo SELinux (restrito, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecidos pelo NetLabel.
NETFILTER_CFG GENERIC_EVENT Acionado quando modificações da cadeia Netfilter são detectadas.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um processo para o qual um sinal é enviado.
CAMINHO FILE_OPEN/GENERIC_EVENT Acionado para registrar informações do caminho do nome do arquivo.
SELINUX_ERR GENERIC_EVENT Acionada quando um erro interno do SELinux é detectado.
SERVICE_START SERVICE_START Acionado quando um serviço é iniciado.
SERVICE_STOP SERVICE_STOP Acionado quando um serviço é interrompido.
SYSCALL GENERIC_EVENT Acionada para registrar uma chamada de sistema para o kernel.
SYSTEM_BOOT STATUS_STARTUP Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL STATUS_UPDATE Acionado quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Acionado quando o sistema é desligado.
USER_ACCT SETTING_MODIFICATION Acionado quando uma conta de usuário do espaço do usuário é modificada.
USER_AUTH USER_LOGIN Acionado quando uma tentativa de autenticação no espaço do usuário é detectada.
USER_AVC USER_UNCATEGORIZED Acionado quando uma mensagem AVC do espaço do usuário é gerada.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Acionado quando um atributo da conta de usuário é modificado.
USER_CMD USER_COMMUNICATION Acionado quando um comando de shell no espaço do usuário é executado.
USER_END USER_LOGOUT Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR USER_UNCATEGORIZED Acionado quando um erro de estado da conta de usuário é detectado.
USER_LOGIN USER_LOGIN Acionado quando um usuário faz login.
USER_LOGOUT USER_LOGOUT Acionado quando um usuário sai da conta.
USER_MAC_POLICY_LOAD RESOURCE_READ Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT USER_UNCATEGORIZED Acionado para registrar dados de gerenciamento do espaço do usuário.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Acionado quando o papel do SELinux de um usuário é alterado.
USER_START USER_LOGIN Acionado quando uma sessão do espaço do usuário é iniciada.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Acionado quando uma mudança de configuração do sistema no espaço do usuário é detectada.
VIRT_CONTROL STATUS_UPDATE Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Acionado para registrar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Acionado para registrar a atribuição de recursos de uma máquina virtual.

E-mail

Campos de registro de e-mail para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos correspondentes do UDM.

Campo de registro Campo de UDM
Turma about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
Conexão relay intermediary.hostname

intermediary.ip

Tamanho network.received_bytes
Estatística security_result.summary
a network.email.to

Tipos de registro de e-mail para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento do UDM correspondentes.

Tipo de registro de e-mail Tipo de evento do UDM
sendmail ATUALIZAÇÃO DO STATUS
pickup EMAIL_UNCATEGORIZED
cleanup ATUALIZAÇÃO DO STATUS
qmgr EMAIL_UNCATEGORIZED
smtp ATUALIZAÇÃO DO STATUS
Local EMAIL_UNCATEGORIZED

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.