收集 Fluentd 日志

支持的平台:

本文档介绍了如何通过配置 Fluentd 来收集 Fluentd 日志 和 Google Security Operations 转发器。本文档还列出了支持的日志类型和支持的 Fluentd 版本。

如需了解详情,请参阅将数据提取到 Google 安全运营中心

概览

下图展示了如何在转发器服务器和汇总服务器上安装 Fluentd,以将日志发送到 Google 安全运营团队。每个客户部署可能与此表示形式不同,并且可能更复杂。

部署架构

架构图显示了以下组件:

  • Linux 系统。要监控的 Linux 系统。Linux 系统包含要监控的文件和 Fluentd 转发器服务器。

  • Microsoft Windows 系统。要监控的 Microsoft Windows 系统,其中安装了 Fluentd 转发器服务器。

  • Fluentd 转发器。Fluentd 转发器会从 Microsoft Windows 或 Linux 收集信息 并将信息转发到 Fluentd 聚合器。

  • Fluentd 聚合器。Fluentd 聚合器会从 Fluentd 转发器接收日志,并将日志转发到 Google Security Operations 转发器。

  • Google Security Operations 转发器。Google 安全运营转发器是一种部署在客户网络中的轻量级软件组件,支持 Syslog。Google Security Operations 转发器会将日志转发到 Google Security Operations。

  • Google Security Operations。Google Security Operations 会保留和分析 Fluentd 聚合器的日志。

提取标签用于标识将原始日志数据标准化的解析器 结构化 UDM 格式本文档中的信息适用于具有 FLUENTD 注入标签的解析器。

准备工作

  • 确保在您计划监控的 Microsoft Windows 或 Linux 系统上安装了 Fluentd 转发器。如需详细了解如何安装 Fluentd 转发器,请参阅 Fluentd 安装

  • 使用 Google Security Operations 解析器支持的 Fluentd 版本。Google Security Operations 解析器支持 Fluentd 1.0 版。

  • 确保在中央 Linux 服务器上安装并配置了 Fluentd 汇总器。

  • 确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。

  • 验证 Google Security Operations 解析器支持的日志类型。 下表列出了 Google Security Operations 解析器支持的产品和日志文件路径:

    操作系统 产品 日志文件路径
    Microsoft Windows Microsoft Windows 事件日志
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux Rhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux Rundeck /var/log/rundeck/service.log
    Linux 桑巴 /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

配置 Fluentd 转发器和聚合器,以及 Google Security Operations 转发器

  1. 如需监控 Linux 系统生成的日志,请创建 td-agent.conf 文件以指定 Fluentd 转发器的日志监控配置。以下是 Linux 系统上 Fluentd 转发器的配置文件示例:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. 如需监控 Microsoft Windows 系统生成的日志,请创建 td-agent.conf 文件以指定 Fluentd 转发器的日志监控配置。以下是 Microsoft Windows 系统上 Fluentd 转发器的配置文件示例:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. 如需将日志从 Fluentd 聚合器转发到 Google 安全运营转发器,请创建以下格式的配置文件:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. 配置 Google Security Operations 转发器,以将日志发送到 Google Security Operations。如需了解详情,请参阅在 Linux 上安装和配置转发器。以下是 Google 安全运营转发器配置示例:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

字段映射参考文档

本部分介绍解析器如何为 Linux 和 Microsoft Windows 系统应用 Grok 模式,以及如何将 Fluentd 日志字段映射到每个日志类型的 Google 安全运维 Unified Data Model (UDM) 字段。

如需了解通用字段的映射引用,请参阅通用字段

如需有关 Linux 系统上日志路径、示例日志的 Grok 模式、事件类型和 UDM 字段的参考信息,请参阅以下部分:

要了解受支持的 Microsoft Windows 事件和相应 UDM 字段, 请参阅 Microsoft Windows 事件数据

常用字段

下表列出了通用日志字段及其对应的 UDM 字段。

通用日志字段 UDM 字段
collected_time metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname 或 principal.hostname
inner_message.path event_source

Linux 系统

下表列出了 Linux 系统的日志路径、示例日志的 Grok 模式、事件类型和 UDM 映射:

日志路径 日志示例 格罗克模式 事件类型 UDM 映射
/var/log/apache2/error.log [星期四 4 月 28 日 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [客户端 1.200.32.47:59840] 连接失败 [{timestamp}][{log_module}:{log_level}][pid{pid}(&lt;optional_field&gt;:tid{tid}|)](&lt;optional_field&gt; [client {client_ip}:{client_port}]|) (?&lt;error_message&gt;.*) NETWORK_UNCATEGORIZED

时间戳映射到 metadata.event_timestamp

log_module 已映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

client_ip 映射到 principal.ip

client_port 已映射到 principal.port

error_message 映射到 security_result.description

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/error.log [2022 年 4 月 28 日星期四 16:13:01.283342] [core:notice] [pid 18394:tid 140188660751296] 连接失败 [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

时间戳映射到 metadata.event_timestamp

log_module 已映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

error_message 映射到 security_result.description

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/error.log [星期四 4 月 28 日 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094:命令行:“/usr/sbin/apache2” [{timestamp}][{log_module}:{log_level}][pid{pid}(&lt;optional_field&gt;:tid{tid}|)](&lt;optional_field&gt; [client {client_ip}:{client_port}]|) (?&lt;error_message&gt;.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

时间戳映射到 metadata.event_timestamp

log_module 已映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

client_ip 映射到 principal.ip

client_port 已映射到 principal.port

error_message 映射到 security_result.description

target.platform 设置为“LINUX”

referer_url 已映射到 network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [客户端 {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url}) NETWORK_HTTP

时间戳映射到 metadata.event_timestamp

log_module 已映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

client_ip 映射到 principal.ip

client_port 已映射到 principal.port

error_message 映射到 security_result.description

target_ip 映射到 target.ip

Referer_url 已映射到 network.http.referral_url

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

时间戳映射到 metadata.event_timestamp

client_ip 映射到 principal.ip

client_port 映射到 principal.port

connection_id 映射到 network.session_id

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/error.log [2019 年 2 月 2 日星期六 00:30:55] 新请求:[connection: j8BjX4Z5tjk] [请求:ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

时间戳映射到 metadata.event_timestamp

request_id 映射到 security_result.detection_fields.(key/value)

client_ip 映射到 principal.ip

client_port 已映射到 principal.port

pid 会映射到 target.process.parent_process.pid

connection_id 映射到 network.session_id

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/error.log [2019 年 2 月 2 日星期六 00:30:55] [信息] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] [pid 8] core.c(4739):[client 192.0.2.8us Aicon does not contain2] [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[客户端 {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

时间戳映射到 metadata.event_timestamp

log_level 会映射到 security_result.severity

request_id 映射到 security_result.detection_fields.(key/value)

client_ip 映射到 principal.ip

client_port 已映射到 principal.port

pid 会映射到 target.process.parent_process.pid

connection_id 映射到 network.session_id

error_message 映射到 security_result.description

file_path 映射到 target.file.full_path

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" ({client_ip})?&lt;message_text&gt;{userid}[{timestamp}](&lt;optional_field&gt;{method}/(&lt;optional_field&gt;{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip 映射到 principal.ip

userid 映射到 principal.user.userid

主机映射到了 principal.hostname

时间戳映射到 metadata.event_timestamp

方法映射到 network.http.method

resource 映射到 principal.resource.name

client_protocol 映射到 network.application_protocol

result_status 映射到 network.http.response_code

object_size 会映射到 network.sent_bytes

referer_url 映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - [14/Jan/2022:14:08:16 -0700]“GET /server-status?auto HTTP/1.1”200 1415“-”\"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP target_host 映射到 target.hostname

target_port 映射到 target.port

client_ip 映射到 principal.ip

userid 映射到 principal.user.userid

主机映射到了 principal.hostname

时间戳映射到 metadata.event_timestamp

方法映射到 network.http.method

resource 映射到 principal.resource.name

result_status 映射到 network.http.response_code

object_size 会映射到 network.sent_bytes

referer_url 映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

network.application_protocol 设置为“HTTP”

var/log/apache2/novnc-server-access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](&lt;optional_field&gt;{method}/(&lt;optional_field&gt;{resource}?){client_protocol}?){result_status}{object_size}(&lt;optional_field&gt;{referer_url}?)(&lt;optional_field&gt;{user_agent}?) NETWORK_HTTP

client_ip 映射到 principal.ip

userid 映射到 principal.user.userid

方法映射到 network.http.method

路径映射到 target.url

result_status 映射到 network.http.response_code

object_size 会映射到 network.sent_bytes

referer_url 映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

network.application_protocol 设置为“HTTP”

/var/log/apache2/access.log &quot;http://192.0.2.1/test/first.html&quot;-&gt;/google.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

路径映射到 target.url

Referer_url 已映射到 network.http.referral_url

network.direction 设置为“OUTBOUND”

target.platform 设置为“LINUX”

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/apache2/access.log Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,例如 Gecko)Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent 映射到 network.http.user_agent

network.direction 设置为“OUTBOUND”

target.platform 设置为“LINUX”

network.application_protocol 设置为“HTTP”

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

var/log/nginx/access.log 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

时间映射到 metadata.timestamp

IP 映射到 target.ip

principal_ip 映射到 principal.ip

principal_user_userid 会映射到 principal.user.userid

metadata_timestamp 会映射到 timestamp

http_method 映射到 network.http.method

resource_name 映射到 principal.resource.name

协议映射到 network.application_protocol = (HTTP)

response_code 映射到 network.http.response_code

received_bytes 会映射到 network.sent_bytes

referer_url 映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“NGINX”

metadata.product_name 设置为“NGINX”

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

var/log/nginx/error.log 2022/01/29 13:51:48 [错误] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\"失败(2:没有这样的文件或目录),客户端:192.0.2.1,服务器:localhost,请求:“GET /nginx_status HTTP/1.1”,主机:“192.0.2.1:8080” "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 已映射到“{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}”?),request:"{http_method} /(<optional_field>{resource_name}?){protocol}/1.1&quot;,host:&quot;({target_ip}:{target_port})?&quot;

“bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})",

“\*{cid}{security_description}”、

"{security_description}"

NETWORK_HTTP

thread_id 映射到 principal.process.pid

severity 会映射到 security_result.severity

(debug 映射到 UNKNOWN_SEVERITY,info 映射到 INFORMATIONAL,notice 映射到 LOW,warn 映射到 MEDIUM,error 映射到 ERROR,crit 映射到 CRITICAL,alert 映射到 HIGH)

target_file_full_path 会映射到 target.file.full_path

principal_ip 会映射到 principal.ip

target_hostname 映射到 target.hostname

http_method 映射到 network.http.method

resource_name 映射到 principal.resource.name

协议映射到“TCP”

target_ip 映射到 target.ip

target_port 映射到 target.port

security_description + security_result_description_2 会映射到 security_result.description

pid 映射到 principal.process.parent_process.pid

network.application_protocol 设置为“HTTP”

时间戳已映射到 {year}/{day}/{month} {time}

target.platform 设置为“LINUX”

metadata.vendor_name 设置为“NGINX”

metadata.product_name 设置为“NGINX”

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

var/log/rkhunter.log [14:10:40] 所需命令检查失败 [<message_text>]{security_description} 状态更新

时间映射到 metadata.timestamp

security_description 映射到 security_result.description

principal.platform 设置为“LINUX”

metadata.vendor_name 设置为“RootKit Hunter”

metadata.product_name 设置为“RootKit Hunter”

var/log/rkhunter.log [14:09:52] 检查文件“/dev/.oz/.nap/rkit/terror”[ 未找到 ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description 映射到 metadata.description

file_path 会映射到 target.file.full_path

security_description 映射到 security_result.description

principal.platform 设置为“LINUX”

metadata.vendor_name 设置为“RootKit Hunter”

metadata.product_name 设置为“RootKit Hunter”

var/log/rkhunter.log fluentd:文件缩小了(保留了 inode):“/var/log/rkhunter.log”。 (&lt;optional_field&gt;&lt;message_text&gt;:){metadata_description}:&#39;{file_path}&#39; FILE_UNCATEGORIZED

time 会映射到 metadata.timestamp

metadata_description 映射到 metadata.description

file_path 会映射到 target.file.full_path

principal.platform 设置为“LINUX”

metadata.vendor_name 设置为“RootKit Hunter”

metadata.product_name 设置为“RootKit Hunter”

/var/log/kern.log Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} 状态更新

时间戳映射到“metadata.event_timestamp”

principal_hostname 会映射到“principal.hostname”

metadata_product_event_type 映射到“metadata.product_event_type”

metadata_description 映射到“metadata.description”

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

principal.platform 设置为“LINUX”

/var/log/kern.log Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE

时间戳映射到“metadata.event_timestamp”

principal_hostname 会映射到“principal.hostname”

metadata_product_event_type 映射到“metadata.product_event_type”

principal_asset_hardware_cpu_model 映射到“principal.asset.hardware.cpu_model”

metadata_description 映射到“metadata.description”

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

principal.platform 设置为“LINUX”

cpu_model 映射到 principal.asset.hardware.cpu_model

/var/log/syslog.log 5 月 24 日 10:30:42 Ubuntu18 systemd[1]:启动了用户 kajal 的会话 112。 {collected_timestamp}{hostname}{command_line}(&lt;optional_field&gt;[{pid}]):{message} STATUS_UPDATE

collected_time 映射到 metadata.event_timestamp

将主机名映射到 principal.hostname

pid 映射到 principal.process.pid

message 映射到 metadata.description

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

principal.platform 设置为“LINUX”

command_line 映射到 principal.process.command_line

/var/log/syslog.log Jul 06 10:14:37 Ubuntu18 rsyslogd: rsyslogd's userid changed to 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collected_time 映射到 metadata.collected_timestamp

将主机名映射到 principal.hostname

消息映射到 metadata.description

user_id 映射到 principal.user.userid

command_line 映射到 principal.process.command_line

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

principal.platform 设置为“LINUX”

/var/log/syslog.log 7 月 6 日 10:36:48 Ubuntu18 systemd[1]:正在启动系统日志记录服务... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time 映射到 metadata.event_timestamp

将主机名映射到 principal.hostname

pid 映射到 principal.process.pid

message 映射到 metadata.description

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

principal.platform 设置为“LINUX”

command_line 映射到 principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MU8.1。学习:1.mohit_AUTOLOGIN/203.0.113.1:16245' {timestamp}[stdout#{log_level}][OVPN <消息文本>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

timestamp 会映射到 metadata.timestamp

log_level 映射到 security_result.severity

local_ip 映射到 principal.ip

target_ip 映射到 target.ip

target_hostname 会映射到 principal.hostname

port 已映射到 target.port

用户已映射到 principal.user.user_display_name

metadata.vendor_name 设置为“OpenVPN”

metadata.product_name 设置为“OpenVPN Access Server”

principal.platform 设置为“LINUX”

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN &lt;message_text&gt;]OUT:(&lt;optional_field&gt;&#39;|&quot;)&lt;message_text&gt;{msg}(&lt;optional_field&gt;&#39;|&quot;) 状态更新

timestamp 会映射到 metadata.timestamp

log_level 会映射到 security_result.severity

msg 映射到 security_result.description

metadata.vendor_name 设置为“OpenVPN”

metadata.product_name 设置为“OpenVPN Access Server”

principal.platform 设置为“LINUX”

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN &lt;message_text&gt;]OUT:&lt;optional_field&gt;&#39;|&quot;&lt;message_text&gt;-&lt;message_text&gt;-&lt;message_text&gt;&lt;message_text&gt;{message}&lt;optional_field&gt;&#39;|&quot;

消息已映射到 (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

状态更新

principal.platform 设置为“LINUX”

target_ip 映射到 target.ip

target_port 映射到 target.port

severity 会映射到 security_result.severity

timestamp 映射到 metadata.timestamp

metadata.vendor_name 设置为 OpenVPN

metadata.product_name 设置为 OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:29T10:51:29T10:51:29T10:51:29T10:51:22+0530 [stdout_4

{timestamp}[stdout#{log_level}][OVPN &lt;message_text&gt;]OUT:(&lt;optional_field&gt;&#39;|&quot;)&lt;message_text&gt;{message}(&lt;optional_field&gt;&#39;|&quot;)

消息映射到 <message_text>with[<message_text>]<message_text>:{port}<message_text>

状态更新

timestamp 会映射到 metadata.timestamp

log_level 会映射到 security_result.severity

metadata.vendor_name 设置为 OpenVPN

metadata.product_name 设置为 OpenVPN Access Server

principal.platform 设置为 Linux

target_ip 映射到 target.ip

target_port 已映射到 target.port

target_hostname 映射到 target.hostname

intermediary_ip 会映射到 intermediary.ip

var/log/openvpnas.log 2022-04-29T10:51:29T10:51:22+0530 2022-04-29T10:51:22+0530 [stdout#一直(状态=1)\" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") 状态更新

timestamp 会映射到 metadata.timestamp

log_level 会映射到 security_result.severity

message 映射到 metadata.description

user 会映射到 target.hostname

IP 映射到 target.ip

端口已映射到 taregt.port

metadata.vendor_name 设置为 OpenVPN

metadata.product_name 设置为 OpenVPN Access Server

principal.platform 设置为 Linux

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{&#39;&lt;message_text&gt;&#39;:({status})?&#39;&lt;message_text&gt;&#39;:({user})?&#39;&lt;message_text&gt;&#39;:({reason})?&lt;message_text&gt;}, &#39;common_name&#39;:&#39;{user_name}&#39;&lt;message_text&gt;}cli=&#39;{cli}&#39; 状态更新

timestamp 会映射到 metadata.timestamp

log_level 映射到 security_result.severity

message 映射到 security_result.description

summary 映射到 security_result.summary

user_name 映射到 principal.user.user_display_name

cli 会映射到 principal.process.command_line

状态映射到 principal.user.user_authentication_status

metadata.vendor_name 设置为“OpenVPN”

metadata.product_name 设置为“OpenVPN Access Server”

principal.platform 设置为“LINUX”

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - 通过点表示法访问配置键“[filterNames]”已废弃,将在未来的版本中移除。请改用“config.getProperty(key, targetClass)”。 [{timestamp}]{severity}{summary}\-{security_description}

,命令行:{command_line}\({file_path}:<message_text>\)

状态更新 command_line 会映射到“target.process.command_line”

file_path 会映射到“target.process.file.full_path”

时间戳映射到“metadata.event_timestamp”

严重级别会映射到“security_result.severity”

summary 映射到“security_result.summary”

security_description 映射到了“security_result.description”

metadata.product_name 设置为“FLUENTD”

metadata.vendor_name 设置为“FLUENTD”

/var/log/auth.log 7 月 4 日 19:26:19 Ubuntu18 systemd-logind[982]:移除了会话 153。 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

timestamp 映射到“metadata.timestamp”

如果值为“USER_LOGOUT”,则将 principal_hostname 映射到 target.hostname,否则将其映射到 principal.hostname

如果值为“USER_LOGOUT”,则 principal_application 会映射到 target.application否则,将映射到“principal.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid否则会映射到 principal.process.pid。

security_description 映射到了“security_result.description”

network_session_id 已映射到“network.session_id”

如果值为“USER_LOGOUT”,则 principal_user_userid 会映射到 principal.user.userid;否则,它会映射到 target.user.userid。

“principal.platform”设为“LINUX”

如果事件 security_description 是“已移除”会话,那么 event_type 会设置为 USER_LOGOUT。

extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/auth.log 6 月 27 日 11:07:17 Ubuntu18 systemd-logind[804]:用户 root 的新会话 564。 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

时间戳映射到“metadata.timestamp”

如果值为“USER_LOGOUT”,则将 principal_hostname 映射到 target.hostname,否则将其映射到 principal.hostname

如果值为“USER_LOGOUT”,则 principal_application 会映射到 target.application否则,将映射到“principal.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid否则会映射到 principal.process.pid。

security_description 映射到了“security_result.description”

network_session_id 已映射到“network.session_id”

如果值为“USER_LOGOUT”,则 principal_user_userid 会映射到 principal.user.userid;否则,它会映射到 target.user.userid。

“principal.platform”设为“LINUX”

&quot;network.application_protocol&quot;已映射到“SSH”

if(new_session) event_type 设置为 USER_LOGIN

extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/auth.log Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt;{security_description}从{principal_ip}端口 {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})?{principal_user_userid} 登录? USER_LOGIN

时间戳映射到“metadata.timestamp”

如果值为“USER_LOGOUT”,则将 principal_hostname 映射到 target.hostname,否则将其映射到 principal.hostname

如果值为“USER_LOGOUT”,则 principal_application 会映射到 target.application否则,将映射到“principal.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid否则会映射到 principal.process.pid。

security_description 映射到了“security_result.description”

如果值为“USER_LOGOUT”,则 principal_user_userid 会映射到 principal.user.userid否则,将映射到 target.user.userid。

principal_ip 会映射到“principal.ip”

principal_port 映射到“principal.port”

security_result_detection_fields_ssh_kv 映射到“security_result.detection_fields.key/value”

security_result_detection_fields_kv 映射到“security_result.detection_fields.key/value”

“principal.platform”设为“LINUX”

&quot;network.application_protocol&quot;已设为“SSH”

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/auth.log 4 月 28 日 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ;PWD=/ ;USER=root ;COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} 状态更新

timestamp 映射到 metadata.timestamp

principal_hostname 映射到 principal.hostname

principal_application 映射到 principal.application

pid 映射到 principal.process.pid

principal_user_userid 映射到 target.user.userid

security_description 映射到了“security_result.description”

principal_process_command_line_1 映射到“principal.process.command_line”

principal_process_command_line_2 已映射到“principal.process.command_line”

principal_user_attribute_labels_uid_kv 已映射到“principal.user.attribute.labels.key/value”

“principal.platform”已设为“LINUX”

/var/log/auth.log 7 月 4 日 19:39:01 Ubuntu18 CRON[17217]:pam_unix(cron:session):由 (uid=0) 为用户根目录打开的会话 {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt;{security_description}(无效用户|用户)?{principal_user_userid}(通过 (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

timestamp 会映射到 metadata.timestamp

如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname否则,将映射到 principal.hostname

如果值为“USER_LOGOUT”,则 principal_application 会映射到 target.application否则,将映射到“principal.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid否则会映射到 principal.process.pid。

security_description 映射到了“security_result.description”

如果值为“USER_LOGOUT”,则 principal_user_userid 会映射到 principal.user.userid否则,将映射到 target.user.userid。

principal_user_attribute_labels_uid_kv 已映射到“principal.user.attribute.labels.key/value”

“principal.platform”已设为“LINUX”

&quot;network.application_protocol&quot;已设为“SSH”

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/auth.log Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root {timestamp} {principal_hostname}{principal_application}&lt;optional_filed&gt;[{pid}]): {security_description} for (invalid user|user){principal_user_userid} USER_LOGOUT

timestamp 会映射到 metadata.timestamp

如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname否则,将映射到 principal.hostname

如果值为“USER_LOGOUT”,则 principal_application 会映射到 target.application否则,将映射到“principal.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid否则会映射到 principal.process.pid。

security_description 映射到了“security_result.description”

如果值为“USER_LOGOUT”,则 principal_user_userid 会映射到 principal.user.userid;否则,它会映射到 target.user.userid。

principal_user_attribute_labels_uid_kv 映射到 principal.user.attribute.labels.key/value

“principal.platform”设为“LINUX”

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/auth.log 6 月 30 日 11:32:26 Ubuntu18 sshd[29425]:通过对用户 root 198.51.100.1 端口 52518 进行身份验证来重置连接 [preauth] {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

timestamp 会映射到 metadata.timestamp

如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname否则,将映射到 principal.hostname

如果值为“USER_LOGOUT”,则 principal_application 会映射到 target.application否则,将映射到“principal.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid否则会映射到 principal.process.pid。

security_description 映射到 security_result.description

security_summary 映射到 security_result.summary

如果值为“USER_LOGOUT”,则 principal_user_userid 会映射到 principal.user.userid;否则,它会映射到 target.user.userid。

target_ip 映射到 target.ip

target_port 映射到 target.port"

principal.platform&quot;已设为“LINUX”

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: 清除缓存并使用版本号 2 重新创建 {timestamp},{severity}(&lt;optional_field&gt;,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]&lt;message_text&gt;:{security_description} 状态更新

时间戳映射到“metadata.timestamp”

pid 映射到“principal.process.pid”

principal_user_attribute_labels_kv 映射到“principal.user.attribute.labels”

principal_group_attribute_labels_kv 映射到“principal.group.attribute.labels”

principal_user_userid 映射到“principal.user.userid”

principal_group_product_object_id 映射到“principal.group.product_object_id”

security_description 映射到了“security_result.description”

metadata_description 映射到“metadata.description”

metadata.product_name”设置为“FLUENTD”

metadata.vendor_name”设置为“FLUENTD”

var/log/samba/log.winbindd Messaging_dgm_init:绑定失败:设备上已没有剩余空间 {user_id}:{desc} 状态更新

metadata.product_name&quot;已设为“FLUENTD”

metadata.vendor_name”设置为“FLUENTD”

user_id 映射到 principal.user.userid

desc 映射到 metadata.description

/var/log/mail.log 7 月 16 日 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6dae4DaoH0 {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;:{KV} 状态更新

target_hostname 映射到 target.hostname

应用映射到 target.application

pid 会映射到 target.process.pid

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod 后缀/pickup[22580]:AE4271627DB:uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname 映射到 target.hostname

应用映射到 target.application

pid 会映射到 target.process.pid

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod 后缀/cleanup[23434]:AE4271627DB:message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;message-id=&lt;{resource_name}&gt; 状态更新

target_hostname 映射到 target.hostname

应用映射到 target.application

pid 会映射到 target.process.pid

resource_name 已映射到 target.resource.name

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1(队列活动) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname 映射到 target.hostname

应用映射到 target.application

pid 会映射到 target.process.pid

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod 后缀/smtp[23436]:连接到 gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25:网络无法访问 {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} 状态更新

target_hostname 映射到 target.hostname

应用映射到 target.application

pid 会映射到 target.process.pid

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:02 prod 后缀/local[23439]:E62521627DC:to=<root@server.hostname.01>、Relay=local、latency=0.01、latency=0/0.01/0/0、dsn=2.0.0、status=sent(已递送至邮箱) {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} EMAIL_UNCATEGORIZED

target_hostname 映射到 target.hostname

应用映射到 target.application

pid 会映射到 target.process.pid

metadata.vendor_name 设置为“FLUENTD”

metadata.product_name 设置为“FLUENTD”

审核

审核日志字段到 UDM 字段

下表列出了审核日志类型的日志字段及其对应的 UDM 字段。

日志字段 UDM 字段
账号 target.user.user_display_name
addr principal.ip
拱门 about.labels.key/value
Auid target.user.userid
Cgroup principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
数据 about.labels.key/value
Devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
退出 target.labels.key/value
家庭 如果“ip_protocol”为 2,则将 network.ip_protocol 设置为“IP6IN4”,否则将其设置为“UNKNOWN_IP_PROTOCOL”
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
主机名 target.hostname
icmptype network.ip_protocol 设为“ICMP”
ID 如果 [audit_log_type] == "ADD_USER",则 target.user.userid 会设置为“%{id}”

如果 [audit_log_type] == "ADD_GROUP",则 target.group.product_object_id 会设置为“%{id}”

else target.user.attribute.labels.key/value 设置为 id

inode target.resource.product_object_id
key security_result.detection_fields.key/value
list security_result.about.labels.key/value
模式 target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

名称 target.file.full_path
new-disk target.resource.name
新内存 target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
新网 pincipal.mac
new_gid target.group.product_object_id
Oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid
Oses network.session_id
乌伊德 target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
乌伊德 target.user.userid
路径 target.file.full_path
perm target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto 如果 [ip_protocol] == 2,则将 network.ip_protocol 设置为“IP6IN4”

else network.ip_protocol 设置为“UNKNOWN_IP_PROTOCOL”

资源 security_result.summary
条结果 security_result.summary
saddr security_result.detection_fields.key/value
Sauid target.user.attribute.labels.key/value
ses network.session_id
SGID target.group.product_object_id
签名 security_result.detection_fields.key/value
subj_user target.user.user_display_name
成功 如果 success=='yes',则 security_result.summary 会设置为“system call was successfully”(系统调用成功) 其他 security_result.summary 设置为“systemcall was failed”
suid target.user.userid
系统调用 about.labels.key/value
终端 target.labels.key/value
tty target.labels.key/value
uid 如果 [audit_log_type] 在 [SYSCALL、SERVICE_START、ADD_GROUP、ADD_USER、MAC_IPSEC_EVENT、MAC_UNLBL_STCADD、OBJ_PID、CONFIG_CHANGE、SECCOMP、USER_CHAUTHTOK、USYS_CONFIG、DEL_GROUP、DEL_USER、USER_CMD、USER_MAC_POLICY_LOAD] 中,uid 设置为 principal.user.userid

else uid 设置为 target.user.userid

vm target.resource.name

审核日志类型转换为 UDM 事件类型

下表列出了审核日志类型及其对应的 UDM 事件类型。

审核日志类型 UDM 事件类型 说明
ADD_GROUP GROUP_CREATION 在添加用户空间组时触发。
ADD_USER USER_CREATION 在添加用户空间用户账号时触发。
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION 当进程异常结束(以及可能引发核心转储的信号,如果启用)时触发。
AVC GENERIC_EVENT 用于记录 SELinux 权限检查。
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT 在修改审核系统配置时触发。
CRED_ACQ USER_LOGIN 当用户获取用户空间凭据时触发。
CRED_DISP USER_LOGOUT 当用户处理用户空间凭据时触发。
CRED_REFR USER_LOGIN 当用户刷新其用户空间凭据时触发。
CRYPTO_KEY_USER USER_RESOURCE_ACCESS 触发此事件可记录用于加密用途的加密密钥标识符。
CRYPTO_SESSION PROCESS_TERMINATION 用于记录在 TLS 会话建立期间设置的参数。
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED 触发以记录当前工作目录。
DAEMON_ABORT PROCESS_TERMINATION 当守护程序因错误而停止时触发。
DAEMON_END PROCESS_TERMINATION 当守护程序成功停止时触发。
DAEMON_RESUME PROCESS_UNCATEGORIZED 当 Auditd 守护程序恢复日志记录时触发。
DAEMON_ROTATE PROCESS_UNCATEGORIZED 当 auditd 守护程序轮替审核日志文件时触发。
DAEMON_START PROCESS_LAUNCH 在 auditd 守护程序启动时触发。
DEL_GROUP GROUP_DELETION 当用户空间群组被删除时触发
待处理 USER_DELETION 在删除用户空间用户时触发
EXECVE PROCESS_LAUNCH 触发以记录 execve(2) 系统调用的参数。
MAC_CONFIG_CHANGE GENERIC_EVENT 当 SELinux 布尔值发生更改时触发。
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED 在检测到 IPSec 事件或 IPSec 配置发生更改时触发,以记录有关 IPSec 事件的信息。
MAC_POLICY_LOAD GENERIC_EVENT 在加载 SELinux 政策文件时触发。
MAC_STATUS GENERIC_EVENT 在 SELinux 模式(强制、宽容、关闭)发生变化时触发。
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED 在使用 NetLabel 提供的内核数据包标记功能添加静态标签时触发。
NETFILTER_CFG GENERIC_EVENT 在检测到 Netfilter 链修改时触发。
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED 用于记录接收信号的进程的相关信息。
PATH FILE_OPEN/GENERIC_EVENT 触发以记录文件名路径信息。
SELINUX_ERR GENERIC_EVENT 检测到内部 SELinux 错误时触发。
SERVICE_START SERVICE_START 在服务启动时触发。
SERVICE_STOP SERVICE_STOP 当服务停止时触发。
SYSCALL GENERIC_EVENT 触发以记录对内核的系统调用。
SYSTEM_BOOT STATUS_STARTUP 系统启动时触发。
SYSTEM_RUNLEVEL STATUS_UPDATE 更改系统的运行级别时触发。
SYSTEM_SHUTDOWN STATUS_SHUTDOWN 当系统关闭时触发。
USER_ACCT SETTING_MODIFICATION 在修改用户空间用户账号时触发。
USER_AUTH USER_LOGIN 当检测到用户空间身份验证尝试时触发。
USER_AVC USER_UNCATEGORIZED 在生成用户空间 AVC 消息时触发。
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT 在修改用户账号属性时触发。
USER_CMD USER_COMMUNICATION 在执行用户空间 shell 命令时触发。
USER_END USER_LOGOUT 在用户空间会话终止时触发。
USER_ERR USER_UNCATEGORIZED 当检测到用户账号状态错误时触发。
USER_LOGIN USER_LOGIN 当用户登录时触发。
USER_LOGOUT USER_LOGOUT 当用户退出时触发。
USER_MAC_POLICY_LOAD RESOURCE_READ 当用户空间守护程序加载 SELinux 政策时触发。
USER_MGMT USER_UNCATEGORIZED 触发以记录用户空间管理数据。
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS 当用户的 SELinux 角色发生更改时触发。
USER_START USER_LOGIN 在用户空间会话启动时触发。
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT 当检测到用户空间系统配置发生更改时触发。
VIRT_CONTROL STATUS_UPDATE 在虚拟机启动、暂停或停止时触发。
VIRT_MACHINE_ID USER_RESOURCE_ACCESS 触发此事件可记录标签与虚拟机的绑定。
VIRT_RESOURCE USER_RESOURCE_ACCESS 触发以记录虚拟机的资源分配。

Mail

邮件日志字段到 UDM 字段

下表列出了邮件日志类型的日志字段 及其对应的 UDM 字段。

日志字段 UDM 字段
about.labels.key/value
Ctladdr principal.user.user_display_name
来自 network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
中继 intermediary.hostname

intermediary.ip

尺寸 network.received_bytes
状态 security_result.summary
更改为 network.email.to

通过邮件日志类型更改为 UDM 事件类型

下表列出了邮件日志类型及其对应的 UDM 事件类型。

邮件日志类型 UDM 事件类型
sendmail 状态更新
自提 EMAIL_UNCATEGORIZED
清理 状态更新
qmgr EMAIL_UNCATEGORIZED
smtp 状态更新
local EMAIL_UNCATEGORIZED

后续步骤