fluentd-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie fluentd-Logs erfassen, indem Sie fluentd und einen Google Security Operations-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Logtypen und die unterstützte fluentd-Version aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Überblick
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie fluentd auf dem Forwarder- und Aggregator-Server installiert ist, um Logs an Google Security Operations zu senden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem fluenter-Forwarder-Server.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, in dem der fluenter-Forwarder-Server installiert ist.
Fluentd-Forwarder. Der fluentd-Forwarder erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den fluentd-Aggregator weiter.
fluentd-Aggregator Der fluentd-Aggregator empfängt Logs vom Fluentd-Forwarder und leitet sie an den Google Security Operations-Forwarder weiter.
Google Security Operations-Forwarder. Die Google Security Operations-Weiterleitung ist eine einfache Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog unterstützt. Der Google Security Operations-Forwarder leitet die Protokolle an Google Security Operations weiter.
Google Security Operations Google Security Operations speichert und analysiert die Logs aus dem fluentd-Aggregator.
Ein Aufnahmelabel gibt den Parser an, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel FLUENTD.
Hinweise
Achten Sie darauf, dass der fluentd-Forwarder auf den Microsoft Windows- oder Linux-Systemen installiert ist, die Sie überwachen möchten. Weitere Informationen zur Installation des Fluentd-Forwarders finden Sie unter Installation von Fluentd.
Verwenden Sie eine Fluentd-Version, die vom Google Security Operations-Parser unterstützt wird. Der Google Security Operations-Parser unterstützt die Fluentd-Version 1.0.
Achten Sie darauf, dass der fluentd-Aggregator auf dem zentralen Linux-Server installiert und konfiguriert ist.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Prüfen Sie die Logtypen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die vom Google Security Operations-Parser unterstützten Produkte und Protokolldateipfade aufgeführt:
Betriebssystem Produkt Protokolldateipfad Microsoft Windows Microsoft Windows Ereignisprotokolle Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Forwarder und Aggregator fluentd sowie den Google Security Operations-Forwarder konfigurieren
Zum Überwachen der Logs, die von Linux-Systemen generiert werden, erstellen Sie eine
td-agent.conf-Datei, um die Log-Monitoring-Konfiguration für den fluentd-Forwarder anzugeben. Hier ist eine Beispielkonfigurationsdatei für den fluentd-Forwarder auf dem Linux-System:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Zum Überwachen der Logs, die von Microsoft Windows-Systemen generiert werden, erstellen Sie eine
td-agent.conf-Datei, um die Logmonitoring-Konfiguration für den fluentd-Forwarder anzugeben. Hier ist eine Beispielkonfigurationsdatei für den fluentd-Forwarder auf dem Microsoft Windows-System:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Erstellen Sie eine Konfigurationsdatei im folgenden Format, um die Logs vom fluentd-Aggregator an den Google Security Operations-Forwarder weiterzuleiten:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Feldzuordnungsreferenz
In diesem Abschnitt wird erläutert, wie der Parser Grok-Muster für Linux- und Microsoft Windows-Systeme anwendet und wie er Fluentd-Logfelder den Feldern des Google Security Operations Unified Data Model (UDM) für jeden Logtyp zuordnet.
Informationen zur Zuordnungsreferenz für allgemeine Felder finden Sie unter Allgemeine Felder.
Referenzinformationen zu Logpfaden, Grok-Muster für Beispiellogs, Ereignistypen und UDM-Felder auf Linux-Systemen finden Sie in den folgenden Abschnitten:
Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.
Allgemeine Felder
In der folgenden Tabelle sind die allgemeinen Logfelder und die zugehörigen UDM-Felder aufgeführt.
| Gemeinsames Logfeld | UDM-Feld |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname oder principal.hostname |
| inner_message.path | event_source |
Linux-System
Die folgende Tabelle enthält die Logpfade für das Linux-System sowie das Grok-Muster für Beispiellogs, den Ereignistyp und die UDM-Zuordnungen:
| Logpfad | Beispiellog | Grok-Muster | Ereignistyp | UDM-Zuordnung |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Do, 28. April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] konnte keine Verbindung herstellen | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/error.log | [Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/error.log | [Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Befehlszeile: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target.platform ist auf "LINUX" festgelegt „referenceer_url“ ist „network.http.referral_url“ zugeordnet. |
| /var/log/apache2/error.log | [So. Jan. 30.15.15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH011191: HTTP: Verbindung zu Backend konnte nicht hergestellt werden. 2. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target_ip ist target.ip zugeordnet „referenceer_url“ ist „network.http.referral_url“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [Anfrage: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [Info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8]core.c(4739): [client 192.0.2.1:50784/apache/docs nicht vorhanden/apache/docs nicht | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_level ist security_result.severity zugeordnet request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. error_message wird security_result.description zugeordnet file_path ist target.file.full_path zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.17 Safari, wie G.1K2.17" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. wird network.http.method zugeordnet. Ressource ist principal.resource.name zugeordnet "client_protocol" ist "network.application_protocol" zugeordnet. result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| var/log/apache2/other_vhosts_access.log | wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host ist target.hostname zugeordnet.
target_port ist target.port zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. wird network.http.method zugeordnet. Ressource ist principal.resource.name zugeordnet result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt |
| var/log/apache2/novnc-server-access.log | wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet wird network.http.method zugeordnet. Pfad ist target.url zugeordnet. result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt |
| /var/log/apache2/access.log | "http://192.0.2.1/test/erste.html" -> /google.de | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | Pfad ist target.url zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optionales_Feld>{user_agent}) | GENERIC_EVENT | user_agent ist network.http.user_agent zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/Ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 530/3K Safari, Win.6.10.10.0, G.10.10.0, Win.10.10.10.9.10.10.9.10.10.9.17" Safari | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | wird metadata.timestamp zugeordnet. IP-Adresse ist target.ip zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet metadata_timestamp ist dem Zeitstempel zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll ist network.application_protocol = (HTTP) zugeordnet. Antwortcode ist network.http.response_code zugeordnet. "empfangen_bytes" wird "network.sent_bytes" zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx1_status2.0.\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", „\*{cid}{security_description}“, „{security_description}“ |
NETWORK_HTTP | Thread_id ist principal.process.pid zugeordnet. severity wird security_result.severity zugeordnet (Fehlerbehebung ist UNKNOWN_SEVERITY zugeordnet, Informationen sind INFORMATIONAL zugeordnet, Hinweis ist LOW zugeordnet, Warnung ist MEDIUM zugeordnet, Fehler ist ERROR zugeordnet, Kriterium ist KRITISCH zugeordnet, Benachrichtigung ist HIGH zugeordnet) target_file_full_path ist target.file.full_path zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet "target_hostname" wird "target.hostname" zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll "TCP" zugeordnet ist, target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. security_description + security_result_description_2 ist security_result.description zugeordnet. pid wird principal.process.parent_process.pid zugeordnet. network.application_protocol ist auf "HTTP" gesetzt Zeitstempel ist {year}/{day}/{month} {time} zugeordnet target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. |
| var/log/rkhunter.log | [14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen | [<message_text>]{security_description} | Statusaktualisierung | wird metadata.timestamp zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
| var/log/rkhunter.log | [14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description ist metadata.description zugeordnet.
file_path ist target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
| var/log/rkhunter.log | fluentd: Dateigröße verringert (Inode blieb): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | wird metadata.timestamp zugeordnet. metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
| /var/log/kern.log | 28. Apr 12:41:35 localhost Kernel: [ 5079.912215] ctnetlink v0.93: Registrierung bei nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | Statusaktualisierung | Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
| /var/log/kern.log | 6.Juli 11:17:01 Ubuntu18 Kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2,20 GHz (Familie: 0x6, Modell: 0x55, Stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet „principal_asset_hardware_cpu_model“ ist „principal.asset.hardware.cpu_model“ zugeordnet metadata_description wird "metadata.description" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt "cpu_model" ist "principal.asset.hardware.cpu_model" zugeordnet |
| /var/log/syslog.log | 24. Mai 10:30:42 Ubuntu18 systemd[1]: Sitzung 112 des Nutzers kajal gestartet. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet. |
| /var/log/syslog.log | Jul 06 10:14:37 Ubuntu18 rsyslogd: Die Nutzer-ID von rsyslogd wurde in 102 geändert. | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | „collected_time“ ist metadata.collected_timestamp zugeordnet. Hostname wird principal.hostname zugeordnet Nachricht wird metadata.description zugeordnet. user_id ist principal.user.userid zugeordnet. Die Befehlszeile wird principal.process.command_line zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
| /var/log/syslog.log | 6. Juli 10:36:48 Ubuntu18 systemd[1]: System Logging Service wird gestartet... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 1.0.AUTO3.0 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet „local_ip“ ist principal.ip zugeordnet target_ip ist target.ip zugeordnet target_hostname wird principal.hostname zugeordnet Port wird target.port zugeordnet. user wird principal.user.user_display_name zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Library-Versionen: OpenSSL 1.1.1, 11. September 2018, LZO 2.08 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | Statusaktualisierung | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet "msg" wird "security_result.description" zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" Nachricht ist zugeordnet zu (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
Statusaktualisierung | „principal.platform“ ist auf „LINUX“ festgelegt target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. severity wird security_result.severity zugeordnet Der Zeitstempel ist metadata.timestamp zugeordnet. metadata.vendor_name auf OpenVPN festgelegt metadata.product_name ist auf OpenVPN Access Server festgelegt |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOMATISCHES NETZWERK1.NET1.NET1.NET1.102AFen.NET1. | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") Nachricht wird zugeordnet zu <message_text>with[<message_text>]<message_text>:{port}<message_text> |
Statusaktualisierung | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet metadata.vendor_name auf OpenVPN festgelegt metadata.product_name ist auf OpenVPN Access Server festgelegt principal.platform ist auf Linux festgelegt target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. "target_hostname" wird "target.hostname" zugeordnet „intermediary_ip“ ist „intermediary.ip“ zugeordnet. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 GCM-de-de-de-de.de-de-deautomat19-de-de-de-de-de Möglichkeiten122262612612126121262616116661666116-1' bzw. 2022-04-29T10:51:22+0530 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'|")<message_text>{user}\/{ip}:{message}(<optionales_Feld>'|") | Statusaktualisierung | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird metadata.description zugeordnet. Nutzer wird target.hostname zugeordnet. IP-Adresse ist target.ip zugeordnet Port ist taregt.port zugeordnet. metadata.vendor_name auf OpenVPN festgelegt metadata.product_name ist auf OpenVPN Access Server festgelegt principal.platform ist auf Linux festgelegt |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | Statusaktualisierung | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. summary ist security_result.summary zugeordnet. user_name ist principal.user.user_display_name zugeordnet cli ist principal.process.command_line zugeordnet. Der Status wird principal.user.user_authentication_status zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap – Der Zugriff auf den Konfigurationsschlüssel „[filterNames]“ über die Punktschreibweise wurde verworfen und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen „config.getProperty(key, targetClass)“. | [{timestamp}]{severity}{summary}\-{security_description}
, bei {command_line}\({file_path}:<message_text>\) |
Statusaktualisierung | Die Befehlszeile wird "target.process.command_line" zugeordnet.
file_path wird "target.process.file.full_path" zugeordnet. Der Zeitstempel wird „metadata.event_timestamp“ severity wird „security_result.severity“ zugeordnet Zusammenfassung wird „security_result.summary“ zugeordnet security_description wird "security_result.description" zugeordnet metadata.product_name ist auf „FLUENTD“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt |
| /var/log/auth.log | 4. Juli 19:26:19 Ubuntu18 systemd-logind[982]: removed session 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | Der Zeitstempel wird „metadata.timestamp“ „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird er „principal.hostname“ zugeordnet „principal_application“ ist „target.application“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.application“ zugeordnet „pid“ wird „target.process.pid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.process.pid“ zugeordnet. security_description wird "security_result.description" zugeordnet network_session_id ist "network.session_id" zugeordnet. „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „target.user.userid“ zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt Wenn das Ereignis security_description auf "Removed" (Sitzung) gesetzt ist, wird "event_type" auf "USER_LOGOUT" gesetzt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/auth.log | 27. Juni 11:07:17 Ubuntu18 systemd-logind[804]: Neue Sitzung 564 des Stammverzeichnisses des Nutzers. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | Der Zeitstempel wird „metadata.timestamp“ „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird er „principal.hostname“ zugeordnet „principal_application“ ist „target.application“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.application“ zugeordnet „pid“ wird „target.process.pid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.process.pid“ zugeordnet. security_description wird "security_result.description" zugeordnet network_session_id ist "network.session_id" zugeordnet. „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „target.user.userid“ zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist „SSH“ zugeordnet if(new_session) event_type ist auf USER_LOGIN gesetzt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/auth.log | 27. Juni 11:07:17 Ubuntu18 sshd[9349]: Akzeptiertes Passwort für Root von 198.51.100.1 Port 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | Der Zeitstempel wird „metadata.timestamp“ „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird er „principal.hostname“ zugeordnet „principal_application“ ist „target.application“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.application“ zugeordnet „pid“ wird „target.process.pid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.process.pid“ zugeordnet. security_description wird "security_result.description" zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „target.user.userid“ zugeordnet. „principal_ip“ ist „principal.ip“ zugeordnet „principal_port“ ist „principal.port“ zugeordnet security_result_detection_fields_ssh_kv ist "security_result.detection_fields.key/value" zugeordnet. security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/auth.log | Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | Statusaktualisierung | Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ ist „principal.hostname“ zugeordnet „principal_application“ ist „principal.application“ zugeordnet pid wird principal.process.pid zugeordnet. „principal_user_userid“ ist „target.user.userid“ zugeordnet. security_description wird "security_result.description" zugeordnet principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet. principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt |
| /var/log/auth.log | 4. Juli 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): Sitzung für Nutzerstamm von (uid=0) geöffnet | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird er „principal.hostname“ zugeordnet „principal_application“ ist „target.application“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.application“ zugeordnet „pid“ wird „target.process.pid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.process.pid“ zugeordnet. security_description wird "security_result.description" zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „target.user.userid“ zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/auth.log | 4. Juli 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): Sitzung für Nutzerstamm beendet | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird er „principal.hostname“ zugeordnet „principal_application“ ist „target.application“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.application“ zugeordnet „pid“ wird „target.process.pid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.process.pid“ zugeordnet. security_description wird "security_result.description" zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „target.user.userid“ zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/auth.log | 30. Juni, 11:32:26 Ubuntu18 sshd[29425]: Verbindung zurückgesetzt durch Authentifizierung des Nutzerstamms 198.51.100.1, Port 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird er „principal.hostname“ zugeordnet „principal_application“ ist „target.application“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.application“ zugeordnet „pid“ wird „target.process.pid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „principal.process.pid“ zugeordnet. security_description wird security_result.description zugeordnet „security_summary“ ist „security_result.summary“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist, andernfalls wird es „target.user.userid“ zugeordnet. target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. „principal.platform“ auf „LINUX“ festgelegt ist „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| var/log/samba/log.winbindd | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | Statusaktualisierung | Der Zeitstempel wird „metadata.timestamp“ „pid“ wird „principal.process.pid“ zugeordnet. „principal_user_attribute_labels_kv“ ist „principal.user.attribute.labels“ zugeordnet „principal_group_attribute_labels_kv“ ist „principal.group.attribute.labels“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet „principal_group_product_object_id“ ist „principal.group.product_object_id“ zugeordnet security_description wird "security_result.description" zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.product_name ist auf „FLUENTD“ festgelegt metadata.vendor_name auf "FLUENTD" festgelegt |
|
| var/log/samba/log.winbindd | Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf Gerät | {user_id}: {desc} | Statusaktualisierung | metadata.product_name ist auf „FLUENTD“ festgelegt metadata.vendor_name auf "FLUENTD" festgelegt user_id ist principal.user.userid zugeordnet. desc ist metadata.description zugeordnet. |
| /var/log/mail.log | 16. Juli 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH0>https://support.google.com/support/answer/160610.22G6AtwH0> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | Statusaktualisierung | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/mail.log | 7. Juli 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/mail.log | 7. Juli 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | Statusaktualisierung | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. "resource_name" ist "target.resource.name" zugeordnet „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/mail.log | 7. Juli 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (Warteschlange aktiv) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/mail.log | 7. Juli 13:44:01 prod postfix/smtp[23436]: Verbindung mit gmail-smtp-in.l.beispiel.de herstellen[2607:xxxx:xxxx:xxx::xx]:25: Netzwerk ist nicht erreichbar | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | Statusaktualisierung | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
| /var/log/mail.log | 7. Juli 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, rel=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (an Posteingang gesendet) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt |
Prüfen
Audit-Log-Felder zu UDM-Feldern
In der folgenden Tabelle sind die Logfelder des Audit-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| Auid | target.user.userid |
| Logo: cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| CWD | target.file.full_path |
| data | about.labels.key/value |
| Devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| Egid | target.group.product_object_id |
| Euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| Familie | network.ip_protocol ist auf "IP6IN4" gesetzt, wenn "ip_protocol" == 2, andernfalls ist es auf "UNKNOWN_IP_PROTOCOL" gesetzt |
| Dateityp | target.file.mime_type |
| fsgid | target.group.product_object_id |
| Fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Hostname | target.hostname |
| IMP-Typ | network.ip_protocol ist auf "ICMP" festgelegt |
| id | Wenn [audit_log_type] == "ADD_USER", wird target.user.userid auf "%{id}" festgelegt
Wenn [audit_log_type] == "ADD_GROUP", ist target.group.product_object_id auf "%{id}" festgelegt else target.user.attribute.labels.key/value ist auf id festgelegt |
| Inode | target.resource.product_object_id |
| Schlüssel | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Modus | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| Neue CPU | target.resource.attribute.labels.key/value |
| New-Netz | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| Opid | target.process.pid |
| OSS | network.session_id |
| Ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| Ogid | target.group.product_object_id |
| Ouid | target.user.userid |
| Pfad | target.file.full_path |
| Dauer | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Wenn [ip_protocol] == 2, ist network.ip_protocol auf "IP6IN4" eingestellt.
else network.ip_protocol ist auf "UNKNOWN_IP_PROTOCOL" festgelegt |
| res | security_result.summary |
| Ergebnis | security_result.summary |
| Trauriger | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| Erfolgreich | Wenn „Success=='yes'“, „security_result.summary“ auf „Systemaufruf war erfolgreich“ festgelegt ist, sonst „security_result.summary“ ist auf „Systemaufruf fehlgeschlagen“ festgelegt |
| Suid | target.user.userid |
| Syscall | about.labels.key/value |
| Terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_id, DEL_USER_LOAD_POLICY] auf USER_USER_CMD, USER_CMD, USER_CMD
sonst ist uid auf target.user.userid festgelegt. |
| vm | target.resource.name |
Audit-Logtypen zum UDM-Ereignistyp
In der folgenden Tabelle sind die Audit-Logtypen und die zugehörigen UDM-Ereignistypen aufgeführt.
| Audit-Log-Typ | UDM-Ereignistyp | Beschreibung |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Wird ausgelöst, wenn eine Gruppe für den Nutzerbereich hinzugefügt wird. |
| ADD_USER | USER_CREATION | Wird ausgelöst, wenn ein Nutzerkonto für den Nutzerbereich hinzugefügt wird. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Wird ausgelöst, wenn ein Prozess ungewöhnlich endet (mit einem Signal, das, sofern aktiviert, einen Core Dump verursachen könnte) |
| AVC | GENERIC_EVENT | Wird zum Aufzeichnen einer SELinux-Berechtigungsprüfung ausgelöst. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn die Systemkonfiguration des Audits geändert wird. |
| CRED_ACQ | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft. |
| CRED_DISP | USER_LOGOUT | Wird ausgelöst, wenn ein Nutzer Nutzerbereich-Anmeldedaten löscht. |
| CRED_REFR | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Wird zum Aufzeichnen der kryptografischen Schlüssel-ID für kryptografische Zwecke ausgelöst. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Wird ausgelöst, um Parameter zu erfassen, die während des Aufbaus einer TLS-Sitzung festgelegt wurden. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen. |
| DAEMON_ABORT | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird. |
| DAEMON_END | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der Auditd-Daemon das Logging fortsetzt. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der Auditd-Daemon die Audit-Logdateien rotiert. |
| DAEMON_START | PROCESS_LAUNCH | Wird beim Starten des Auditd-Daemons ausgelöst. |
| DEL_GROUP | GROUP_DELETION | Wird ausgelöst, wenn eine Nutzerbereichsgruppe gelöscht wird |
| Ausstehend | USER_DELETION | Wird ausgelöst, wenn ein Nutzer im User-Bereich gelöscht wird |
| EXECVE | PROCESS_LAUNCH | Wird ausgelöst, um Argumente des execve(2)-Systemaufrufs aufzuzeichnen. |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein IPSec-Ereignis erkannt wird oder sich die IPSec-Konfiguration ändert. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird. |
| MAC_STATUS | GENERIC_EVENT | Wird ausgelöst, wenn der SELinux-Modus (erzwingend, moderat, aus) geändert wird. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, wenn bei Verwendung der Paket-Labeling-Funktionen des von NetLabel bereitgestellten Kernels ein statisches Label hinzugefügt wird. |
| NETFILTER_CFG | GENERIC_EVENT | Wird ausgelöst, wenn Änderungen an Netfilter-Ketten erkannt werden. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen über einen Prozess aufzuzeichnen, an den ein Signal gesendet wird. |
| PATH | FILE_OPEN/GENERISCHES_EVENT | Wird zum Aufzeichnen von Dateinamenpfadinformationen ausgelöst. |
| SELINUX_ERR | GENERIC_EVENT | Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird. |
| SERVICE_START | SERVICE_START | Wird ausgelöst, wenn ein Dienst gestartet wird |
| SERVICE_STOP | SERVICE_STOP | Wird ausgelöst, wenn ein Dienst beendet wird |
| SYSCALL | GENERIC_EVENT | Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen. |
| SYSTEM_BOOT | STATUS_STARTUP | Wird beim Hochfahren des Systems ausgelöst. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Wird ausgelöst, wenn sich der Runlevel des Systems ändert. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Wird ausgelöst, wenn das System heruntergefahren wird |
| USER_ACCT | SETTING_MODIFICATION | Wird ausgelöst, wenn ein Nutzerkonto für einen Nutzerbereich geändert wird. |
| USER_AUTH | USER_LOGIN | Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird. |
| USER_AVC | USER_UNCATEGORIZED | Wird ausgelöst, wenn eine AVC-Nachricht für den Nutzerbereich generiert wird. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn ein Attribut eines Nutzerkontos geändert wird. |
| USER_CMD | USER_COMMUNICATION | Wird ausgelöst, wenn ein Shell-Befehl für den Nutzerbereich ausgeführt wird. |
| USER_END | USER_LOGOUT | Wird ausgelöst, wenn eine User-Bereich-Sitzung beendet wird. |
| USER_ERR | USER_UNCATEGORIZED | Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird. |
| USER_LOGIN | USER_LOGIN | Wird ausgelöst, wenn sich ein Nutzer anmeldet |
| USER_LOGOUT | USER_LOGOUT | Wird ausgelöst, wenn sich ein Nutzer abmeldet. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt. |
| USER_MGMT | USER_UNCATEGORIZED | Wird zum Aufzeichnen von Daten zur Verwaltung von Nutzerbereichen ausgelöst. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird. |
| USER_START | USER_LOGIN | Wird ausgelöst, wenn eine Nutzerbereichssitzung gestartet wird. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn eine Änderung der Systemkonfiguration für den Nutzerbereich erkannt wird. |
| VIRT_CONTROL | STATUS_UPDATE | Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Wird zum Aufzeichnen der Ressourcenzuweisung einer virtuellen Maschine ausgelöst. |
Logfelder an UDM-Felder senden
In der folgenden Tabelle sind die Logfelder des E-Mail-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Klasse | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Von | network.email.from |
| MS-GID | network.email.mail_id |
| Proto | network.application_protocol |
| Relay | intermediary.hostname
intermediary.ip |
| Größe | network.received_bytes |
| Statistik | security_result.summary |
| zu | network.email.to |
E-Mail-Protokolltypen an UDM-Ereignistyp
In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.
| E-Mail-Logtyp | UDM-Ereignistyp |
|---|---|
| sendmail | Statusaktualisierung |
| Abholung | EMAIL_UNCATEGORIZED |
| cleanup | Statusaktualisierung |
| Qualitätsmanagement | EMAIL_UNCATEGORIZED |
| smtp | Statusaktualisierung |
| lokal | EMAIL_UNCATEGORIZED |