Coletar registros do Fluentd
Neste documento, descrevemos como coletar registros do Fluentd configurando o Fluentd e um forwarder de operações de segurança do Google. Este documento também lista os tipos de registro e a versão do Fluentd compatíveis.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Visão geral
O diagrama de arquitetura de implantação a seguir mostra como o Fluentd é instalado no servidor de encaminhamento e no servidor agregador para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e ser mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Sistema Linux. O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no servidor de encaminhamento do Fluentd.
Sistema Microsoft Windows: O sistema Microsoft Windows a ser monitorado em que o servidor de encaminhamento do Fluentd está instalado.
encaminhador do Fluentd. O encaminhador do Fluentd coleta informações do ambiente e encaminha as informações para o agregador Fluentd.
Agregador Fluentd. O agregador Fluentd recebe registros do Encaminhado Fluentd e encaminha os registros para o encaminhador de Operações de segurança do Google.
Encaminhador do Google Security Operations. O encaminhador de Operações de segurança do Google é um componente de software, implantado na rede do cliente, que suporta o syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.
Google Security Operations. O Google Security Operations retém e analisa os registros do agregador do Fluentd.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos
ao formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão FLUENTD.
Antes de começar
Verifique se o forwarder do Fluentd está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre como instalar o encaminhador do Fluentd, consulte Instalação do Fluentd
Use uma versão do Fluentd compatível com o analisador das Operações de segurança do Google. O analisador de operações de segurança do Google oferece suporte à versão 1.0 do Fluentd.
Verifique se o agregador do Fluentd está instalado e configurado no servidor Linux central.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Verifique os tipos de registro compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e caminhos de arquivo de registro compatíveis com o analisador de operações de segurança do Google:
Sistema operacional Produto Caminho do arquivo de registro Dispositivo Microsoft Windows Dispositivo Microsoft Windows Logs de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Configurar o encaminhador e o agregador do Fluentd e o encaminhador das operações de segurança do Google
Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo
td-agent.confpara especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Este é um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo
td-agent.confpara especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Aqui está um exemplo arquivo de configuração para o encaminhador Fluentd no sistema Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Para encaminhar os registros do agregador do Fluentd para o forwarder das Operações de segurança do Google, crie um arquivo de configuração no seguinte formato:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Configure o encaminhador das Operações de segurança do Google para enviar registros Operações de segurança do Google. Para mais informações, consulte Como instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referência de mapeamento de campo
Esta seção explica como o analisador aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do Fluentd para campos de Modelo de Dados Unificado (UDM, na sigla em inglês) das operações de segurança do Google para cada tipo de registro.
Para informações sobre como mapear a referência de campos comuns, consulte Campos comuns.
Para informações de referência sobre caminhos de registro, padrões de grok para exemplos de registros, tipos de eventos e campos de UDM em sistemas Linux, consulte as seguintes seções:
Para informações sobre os eventos do Microsoft Windows aceitos e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.
Campos comuns
A tabela a seguir lista os campos de registro comuns e os campos correspondentes do UDM.
| Campo de registro comum | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname ou principal.hostname |
| inner_message.path | event_source |
Sistema Linux
A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos de UDM:
| Caminho do registro | Exemplo de registro | Padrão Grok | Tipo de evento | Mapeamento de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] Falha na conexão | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid client_ip está mapeado para principal.ip. client_port está mapeado para principal.port error_message é associado a security_result.description network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] Falha na conexão | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid error_message foi mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" o carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid client_ip está mapeado para principal.ip. client_port está mapeado para principal.port error_message foi mapeado para security_result.description target.platform está definido como "LINUX" referer_url é mapeado para network.http.referral_url |
| /var/log/apache2/error.log | [Dom , 30 de janeiro 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH01114: HTTP: falha ao fazer conexão com o back-end .2.2.2. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid client_ip está mapeado para principal.ip. client_port está mapeado para principal.port error_message é associado a security_result.description target_ip é associado a target.ip referer_url está mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sáb 02 de fev de 2019 00:30:55] Nova conexão: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | o carimbo de data/hora é mapeado para metadata.event_timestamp client_ip é mapeado para principal.ip client_port está mapeado para principal.port conexão_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sábado, 2 de fevereiro, 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [solicitação: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp request_id é mapeado para security_result.detection_fields.(chave/valor) client_ip está mapeado para principal.ip. client_port está mapeado para principal.port O pid é mapeado para target.process.parent_process.pid connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sábado, 2 de fevereiro 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00784] AH00128 Arquivo AH00128: arquivo AH00128 | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[cliente {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id é mapeado para security_result.detection_fields.(chave/valor) client_ip está mapeado para principal.ip. client_port está mapeado para principal.port O pid é mapeado para target.process.parent_process.pid connection_id é mapeado para network.session_id error_message foi mapeado para security_result.description file_path está mapeado para target.file.full_path. network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/abr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid host está mapeado para principal.hostname o carimbo de data/hora é mapeado para metadata.event_timestamp é mapeado para network.http.method recurso mapeado para principal.resource.name client_protocol é mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url está mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA" network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host é mapeado para target.hostname
target_port é mapeado para target.port client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid host está mapeado para principal.hostname o carimbo de data/hora é mapeado para metadata.event_timestamp é mapeado para network.http.method O recurso é mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url está mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP" |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid O método é mapeado para network.http.method o caminho está mapeado para target.url. result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url está mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | o caminho está mapeado para target.url. referer_url é mapeado para network.http.referral_url network.direction está definido como "OUTBOUND" target.platform está definida como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent é mapeado para network.http.user_agent network.direction está definido como "SAÍDA" target.platform está definida como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/Maio/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip}: (<campo opcional>{principal_user_id}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time é mapeado para metadata.timestamp O IP é mapeado para target.ip principal_ip é mapeado para principal.ip principal_user_userid é mapeado para principal.user.userid metadata_timestamp é associado ao carimbo de data/hora http_method é mapeado para network.http.method resource_name foi mapeado para principal.resource.name é mapeado para network.application_protocol = (HTTP) response_code é mapeado para network.http.response_code receive_bytes é mapeado para network.sent_bytes. referer_url está mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 foi mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() para ({target_ip}|[{target_ip}]):{target_port} falhou ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id é mapeado para principal.process.pid gravidade é mapeada para security_result.severity (debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH) target_file_full_path está mapeado para target.file.full_path. principal_ip é mapeado para principal.ip target_hostname é mapeado para target.hostname http_method está mapeado para network.http.method. resource_name é mapeado para principal.resource.name é mapeado para "TCP" target_ip é associado a target.ip target_port é mapeado para target.port security_description + security_result_description_2 é mapeada para security_result.description O pid é mapeado para principal.process.parent_process.pid network.application_protocol está definido como "HTTP" O carimbo de data/hora é mapeado para {year}/{day}/{month} {time} target.platform está definida como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falha na verificação de comandos obrigatórios | [<message_text>]{security_description} | ATUALIZAÇÃO DO STATUS | O horário é mapeado para metadata.timestamp security_description é mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Verificando o arquivo '/dev/.oz/.nap/rkit/terror' [Não encontrado ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description é mapeado para metadata.description
file_path é mapeado para target.file.full_path security_description é mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | README: tamanho do arquivo reduzido (o inode permaneceu): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | O horário é mapeado para metadata.timestamp metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| /var/log/kern.log | 28 de abril de 12:41:35 Kernel do localhost: [ 5079.912215] ctnetlink v0.93: registro com nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" |
| /var/log/kern.log | Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" cpu_model é mapeado para principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 24 de maio 10:30:42 Ubuntu18 systemd[1]: sessão 112 iniciada do usuário kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname pid foi mapeado para principal.process.pid A mensagem é mapeada para metadata.description metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" A linha de comando é mapeada para principal.process.command_line |
| /var/log/syslog.log | Jul 06 10:14:37 Ubuntu18 rsyslogd: o userid de rsyslogd foi alterado para 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time é associado a metadata.collected_timestamp O nome do host é mapeado para principal.hostname a mensagem é mapeada para metadata.description user_id é mapeado para principal.user.userid A linha de comando é mapeada para principal.process.command_line metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | Jul 06 10:36:48 Ubuntu18 systemd[1]: iniciando o serviço de registro do sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname pid foi mapeado para principal.process.pid A mensagem é mapeada para metadata.description metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" command_line é mapeado para principal.process.command_line |
| var/log/openvpnas.log | 29-04-2022T10:51:22+0530 [stdout#info] [OVPN 4] SAÍDA: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Aprenda: 198.5 mohit_AUTOLOGIN/203.0.113.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | o carimbo de data/hora é mapeado para metadata.timestamp log_level é mapeado para security_result.severity local_ip foi mapeado para principal.ip. target_ip está mapeado para target.ip. target_hostname está mapeado para principal.hostname a porta está mapeada para target.port. usuário foi mapeado para principal.user.user_display_name metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 28-04-2022T16:14:13+0530 [stdout#info] [OVPN 6] SAÍDA: '2022-04-28 16:14:13 versões da biblioteca: OpenSSL 1.1.1 11 de setembro de 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | ATUALIZAÇÃO DO STATUS | O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity msg é mapeado para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" A mensagem é mapeada para (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
ATUALIZAÇÃO DO STATUS | principal.platform está definido como "LINUX" target_ip é associado a target.ip target_port é mapeado para target.port A gravidade é mapeada para security_result.severity o carimbo de data/hora é mapeado para metadata.timestamp metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") A mensagem é mapeada para <message_text>with[<message_text>]<message_text>:{port}<message_text> |
ATUALIZAÇÃO DO STATUS | O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como o servidor de acesso OpenVPN principal.platform está definido como Linux target_ip está mapeado para target.ip. target_port é mapeado para target.port target_hostname é mapeado para target.hostname intermediário_ip é mapeado para intermediário.ip |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | ATUALIZAÇÃO DO STATUS | O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para metadata.description O usuário é mapeado para target.hostname O IP é mapeado para target.ip. a porta está mapeada para taregt.port. metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como o servidor de acesso OpenVPN principal.platform está definido como Linux. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | ATUALIZAÇÃO DO STATUS | O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description O resumo é mapeado para security_result.summary user_name é mapeado para principal.user.user_display_name cli está mapeado para principal.process.command_line O status é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap: o acesso à chave de configuração "[filterNames]" pela notação de ponto foi descontinuado e será removido em uma versão futura. Use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, em {command_line}\({file_path}:<message_text>\) |
ATUALIZAÇÃO DO STATUS | command_line é mapeado para "target.process.command_line"
file_path é mapeado para "target.process.file.full_path" O carimbo de data/hora é mapeado para "metadata.event_timestamp" gravidade é mapeada para "security_result.severity" O resumo é mapeado para "security_result.summary". security_description é mapeado para "security_result.description" metadata.product_name está definido como "FLUENTD" metadata.vendor_name está definido como "FLUENTD" |
| /var/log/auth.log | Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: sessão 153 removida. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | o carimbo de data/hora é mapeado para "metadata.timestamp" principal_hostname está mapeado para target.hostname se o valor for "USER_LOGOUT" caso contrário, será mapeado para principal.hostname principal_application está mapeado para target.application se o valor for "USER_LOGOUT" caso contrário, será mapeado para "principal.application" O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid. security_description é mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid. "principal.platform" está definido como "LINUX" Se security_description do evento for "Remove", o event_type será definido como USER_LOGOUT. extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 27 de junho 11:07:17 Ubuntu18 systemd-logind[804]: nova sessão 564 da raiz do usuário. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | O carimbo de data/hora é mapeado para "metadata.timestamp" principal_hostname está mapeado para target.hostname se o valor for "USER_LOGOUT" caso contrário, será mapeado para principal.hostname principal_application está mapeado para target.application se o valor for "USER_LOGOUT" caso contrário, será mapeado para "principal.application" O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid. security_description é mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid. "principal.platform" está definido como "LINUX" "network.application_protocol" é mapeado para "SSH" se(new_session) event_type estiver definido como USER_LOGIN extensões.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 27 de junho de 11:07:17 Ubuntu18 sshd[9349]: Aceitou a senha de raiz de 198.51.100.1 porta 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | O carimbo de data/hora é mapeado para "metadata.timestamp" principal_hostname está mapeado para target.hostname se o valor for "USER_LOGOUT" caso contrário, será mapeado para principal.hostname principal_application está mapeado para target.application se o valor for "USER_LOGOUT" caso contrário, será mapeado para "principal.application" O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid. security_description é mapeado para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid. principal_ip é mapeado para "principal.ip" principal_port é mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeada para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 28 de abril de 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | ATUALIZAÇÃO DO STATUS | O carimbo de data/hora é associado a metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application está mapeado para principal.application pid foi mapeado para principal.process.pid principal_user_userid é mapeado para target.user.userid security_description é mapeado para "security_result.description" principal_process_command_line_1 é mapeado para "principal.process.command_line" principal_process_command_line_2 é mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" |
| /var/log/auth.log | Jul 4 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sessão aberta para o usuário raiz por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | o carimbo de data/hora é mapeado para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname principal_application está mapeado para target.application se o valor for "USER_LOGOUT" caso contrário, será mapeado para "principal.application" O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid. security_description é mapeado para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid. principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 4 de julho 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sessão encerrada para a raiz do usuário | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]: {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | O carimbo de data/hora é associado a metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname principal_application está mapeado para target.application se o valor for "USER_LOGOUT" caso contrário, será mapeado para "principal.application" O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid. security_description é mapeado para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT" caso contrário, ele será mapeado para target.user.userid. principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 30 de junho 11:32:26 Ubuntu18 sshd[29425]: conexão redefinida ao autenticar a raiz do usuário 198.51.100.1 porta 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | O carimbo de data/hora é associado a metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.hostname principal_application está mapeado para target.application se o valor for "USER_LOGOUT" caso contrário, será mapeado para "principal.application" O pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para principal.process.pid. security_description é mapeado para security_result.description security_summary é mapeado para security_result.summary principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele será mapeado para target.user.userid. target_ip está mapeado para target.ip. target_port está mapeado para target.port" principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(Initialize_winbindd_cache)Initialize_winbindd_cache: limpar o cache e recriar com a versão número 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora é mapeado para "metadata.timestamp" O pid é mapeado para "principal.process.pid". principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels" principal_user_userid é mapeado para "principal.user.userid" principal_group_product_object_id é mapeado para "principal.group.product_object_id" security_description é mapeado para "security_result.description" metadata_description é mapeado para "metadata.description" metadata.product_name" está definido como "FLUENTD" metadata.vendor_name" está definido como "FLUENTD" |
| var/log/samba/log.winbindd | messaging_dgm_init: falha na vinculação: não há espaço livre no dispositivo | {user_id}: {desc} | ATUALIZAÇÃO DO STATUS | metadata.product_name" está definido como "FLUENTD" metadata.vendor_name" está definido como "FLUENTD" user_id foi mapeado para principal.user.userid desc é mapeado para metadata.description |
| /var/log/mail.log | 16 de julho 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | ATUALIZAÇÃO DO STATUS | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | ATUALIZAÇÃO DO STATUS | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid resource_name é mapeado para target.resource.name metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (fila ativa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/smtp[23436]: conexão com gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: a rede não está acessível | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | ATUALIZAÇÃO DO STATUS | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
Auditoria
Campos de registro de auditoria para campos do UDM
A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos de UDM correspondentes.
| Campo de registro | Campo de UDM |
|---|---|
| conta | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| grupo de discussão | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dados | about.labels.key/value |
| Devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| família | network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, ele é definido como "UNKNOWN_IP_PROTOCOL". |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nome do host | target.hostname |
| icmptype | network.ip_protocol está definido como "ICMP" |
| id | Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}" caso contrário, target.user.attribute.labels.key/value será definido como ID |
| inode | target.resource.product_object_id |
| chave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| modo | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| novo disco | target.resource.name |
| nova-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogida | target.group.product_object_id |
| ouid | target.user.userid |
| path | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol está definido como "IP6IN4"
Caso contrário, network.ip_protocol é definido como "UNKNOWN_IP_PROTOCOL". |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| sucesso | Se success=='yes', security_result.summary é definido como 'system call was successful' caso contrário, security_result.summary é definido como 'systemcall was failed' |
| suid | target.user.userid |
| chamada do sistema | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] o uid é definido como principal.user.userid
Caso contrário, o uid é definido como target.user.userid |
| vm | target.resource.name |
Tipos de registro de auditoria para o tipo de evento do UDM
A tabela a seguir lista os tipos de registro de auditoria e os tipos de evento do UDM correspondentes.
| Tipo de registro de auditoria | Tipo de evento de UDM | Descrição |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Acionado quando um grupo de espaço do usuário é adicionado. |
| ADD_USER | USER_CREATION | Acionado quando uma conta de usuário no espaço do usuário é adicionada. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de núcleo, se ativado). |
| AVC | GENERIC_EVENT | Acionado para registrar uma verificação de permissão do SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Acionado quando a configuração do sistema de auditoria é modificada. |
| CRED_ACQ | USER_LOGIN | Acionado quando um usuário adquire as credenciais do espaço do usuário. |
| CRED_DISP | USER_LOGOUT | Acionado quando um usuário descarta credenciais do espaço do usuário. |
| CRED_REFR | USER_LOGIN | Acionado quando um usuário atualiza as credenciais do espaço do usuário. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Acionado para registrar o identificador da chave criptográfica usado para fins criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Acionado para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para gravar o diretório de trabalho atual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Acionada quando um daemon é interrompido devido a um erro. |
| DAEMON_END | PROCESS_TERMINATION | Acionado quando um daemon é interrompido. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd retoma a geração de registros. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd rotaciona os arquivos de registro de auditoria. |
| DAEMON_START | PROCESS_LAUNCH | Acionado quando o daemon auditd é iniciado. |
| DEL_GROUP | GROUP_DELETION | Acionado quando um grupo de espaço do usuário é excluído |
| Pendente | USER_DELETION | Acionado quando um usuário do espaço do usuário é excluído |
| EXECVE | PROCESS_LAUNCH | Acionado para registrar argumentos da chamada de sistema "execve(2)". |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Acionado quando um valor booleano do SELinux é alterado. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um evento IPSec, quando um evento é detectado ou quando a configuração de IPSec muda. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Acionado quando um arquivo de política do SELinux é carregado. |
| MAC_STATUS | GENERIC_EVENT | Acionado quando o modo SELinux (aplicador, permissivo, desativado) é alterado. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecidos pelo NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Acionado quando modificações da cadeia Netfilter são detectadas. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um processo para o qual um indicador é enviado. |
| CAMINHO | FILE_OPEN/GENERIC_EVENT | Acionado para gravar informações do caminho do nome de arquivo. |
| SELINUX_ERR | GENERIC_EVENT | Acionada quando um erro interno do SELinux é detectado. |
| SERVICE_START | SERVICE_START | Acionado quando um serviço é iniciado. |
| SERVICE_STOP | SERVICE_STOP | Acionado quando um serviço é interrompido. |
| SYSCALL | GENERIC_EVENT | Acionada para registrar uma chamada de sistema para o kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Acionado quando o sistema é inicializado. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Acionado quando o nível de execução do sistema é alterado. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Acionado quando o sistema é desligado. |
| USER_ACCT | SETTING_MODIFICATION | Acionado quando uma conta de usuário no espaço do usuário é modificada. |
| USER_AUTH | USER_LOGIN | Acionado quando uma tentativa de autenticação no espaço do usuário é detectada. |
| USER_AVC | USER_UNCATEGORIZED | Acionado quando uma mensagem AVC do espaço do usuário é gerada. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Acionado quando um atributo de conta de usuário é modificado. |
| USER_CMD | USER_COMMUNICATION | Acionado quando um comando do shell do espaço do usuário é executado. |
| USER_END | USER_LOGOUT | Acionado quando uma sessão do espaço do usuário é encerrada. |
| USER_ERR | USER_UNCATEGORIZED | Acionado quando um erro de estado da conta de usuário é detectado. |
| USER_LOGIN | USER_LOGIN | Acionado quando um usuário faz login. |
| USER_LOGOUT | USER_LOGOUT | Acionado quando um usuário sai da conta. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Acionado quando um daemon do espaço do usuário carrega uma política do SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Acionado para registrar dados de gerenciamento do espaço do usuário. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Acionado quando o papel SELinux de um usuário é alterado. |
| USER_START | USER_LOGIN | Acionado quando uma sessão no espaço do usuário é iniciada. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Acionado quando uma mudança de configuração do sistema no espaço do usuário é detectada. |
| VIRT_CONTROL | STATUS_UPDATE | Acionado quando uma máquina virtual é iniciada, pausada ou interrompida. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Acionado para registrar a vinculação de um rótulo a uma máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Acionado para registrar a atribuição de recursos de uma máquina virtual. |
Enviar campos de registro de e-mail para campos de UDM
A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos de UDM correspondentes.
| Campo de registro | Campo de UDM |
|---|---|
| Turma | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| De | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Conexão relay | intermediary.hostname
intermediary.ip |
| Tamanho | network.received_bytes |
| Estatística | security_result.summary |
| a | network.email.to |
Tipos de registro de e-mail para o tipo de evento de UDM
A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento do UDM correspondentes.
| Tipo de registro de e-mail | Tipo de evento de UDM |
|---|---|
| sendmail | ATUALIZAÇÃO DO STATUS |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | ATUALIZAÇÃO DO STATUS |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | ATUALIZAÇÃO DO STATUS |
| Local | EMAIL_UNCATEGORIZED |