Recopila registros de Fluentd
En este documento, se describe cómo puedes recopilar registros de Fluentd mediante la configuración de Fluentd y un servidor de reenvío de Chronicle. En este documento, también se enumeran los tipos de registros admitidos y la versión de Fluentd compatible.
Para obtener más información, consulta Transferencia de datos a Chronicle.
Descripción general
En el siguiente diagrama de arquitectura de implementación, se muestra cómo Fluentd se instala en el servidor de reenvío y en el servidor agregador para enviar registros a Chronicle. Cada implementación de cliente puede diferir de esta representación y podría ser más compleja.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux. Es el sistema Linux que se supervisará. El sistema Linux consta de los archivos que se deben supervisar y el servidor de reenvío de Fluentd.
Sistema Windows de Microsoft El sistema Microsoft Windows que se supervisará en el que está instalado el servidor de reenvío de Fluentd.
Reenvío de Fluentd. El reenviador Fluentd recopila información del sistema Microsoft Windows o Linux y la reenvía al agregador de Fluentd.
Agregador de Fluentd. El agregador de Fluentd recibe registros del servidor de reenvío de Fluentd y los reenvía al servidor de reenvío de Chronicle.
Remitente de Chronicle. El servidor de reenvío de Chronicle es un componente de software ligero, que se implementa en la red del cliente, y que es compatible con syslog. El servidor de reenvío de Chronicle reenvía los registros a Chronicle.
Chronicle. Chronicle retiene y analiza los registros del agregador de Fluentd.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado de UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia FLUENTD.
Antes de comenzar
Asegúrate de que el servidor de reenvío de Fluentd esté instalado en los sistemas de Microsoft Windows o Linux que planeas supervisar. Para obtener más información sobre cómo instalar el servidor de reenvío de Fluentd, consulta Instalación de Fluentd
Usa una versión de Fluentd que admita el analizador de Chronicle. El analizador de Chronicle es compatible con la versión 1.0 de Fluentd.
Asegúrate de que el agregador de Fluentd esté instalado y configurado en el servidor central de Linux.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Verifica los tipos de registros que admite el analizador de Chronicle. En la siguiente tabla, se enumeran los productos y las rutas de acceso a archivos de registro que admite el analizador de Chronicle:
Sistema operativo Producto Ruta del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux cazador de rks /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux trampolín /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Configurar el servidor de reenvío y el agregador de Fluentd y el servidor de reenvío de Chronicle
Para supervisar los registros que generan los sistemas Linux, crea un archivo
td-agent.confa fin de especificar la configuración de supervisión de registros para el servidor de reenvío Fluentd. Este es un ejemplo de archivo de configuración para el servidor de reenvío Fluentd en el sistema Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Para supervisar los registros que generan los sistemas de Microsoft Windows, crea un archivo
td-agent.confa fin de especificar la configuración de supervisión de registros para el reenviador Fluentd. Este es un ejemplo de archivo de configuración para el servidor de reenvío Fluentd en el sistema Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Para reenviar los registros del agregador de Fluentd al servidor de reenvío de Chronicle, crea un archivo de configuración en el siguiente formato:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Configura el servidor de reenvío de Chronicle para enviar registros a Chronicle. Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío en Linux. A continuación, se muestra un ejemplo de una configuración de servidor de reenvío de Chronicle:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referencia de asignación de campos
En esta sección, se explica cómo el analizador aplica patrones de grok para sistemas Linux y Microsoft Windows, y cómo asigna los campos de registro de Fluentd a los campos del Modelo de datos unificados de Chronicle (UDM) para cada tipo de registro.
Para obtener información sobre la referencia de asignación de campos comunes, consulta Campos comunes.
Para obtener información de referencia sobre rutas de registro, patrones de grok (por ejemplo, registros, tipos de eventos y campos de UDM en los sistemas Linux), consulta las siguientes secciones:
- Linux
- Auditar
- Tipo de evento de registro de auditoría
- Correo electrónico
- Tipo de evento de registro de correo electrónico
Para obtener información sobre los eventos compatibles de Microsoft Windows y los campos de UDM correspondientes, consulta los datos de eventos de Microsoft Windows.
Campos comunes
En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.
| Campo de registro común | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname o principal.hostname |
| inner_message.path | event_source |
Sistema Linux
En la siguiente tabla, se enumeran las rutas de acceso para el sistema Linux, el patrón grok (por ejemplo, registros), el tipo de evento y las asignaciones de UDM:
| Ruta de acceso del registro | Registro de ejemplo | Patrón de grok | Tipo de evento | Asignación de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [cliente 1.200.32.47:59840] no pudo establecer la conexión. | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip Se asignó client_port a principal.port error_message se asignó a security_result.description network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer la conexión | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid error_message se asignó a security_result.description network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip Se asignó client_port a principal.port error_message se asignó a security_result.description target.platform está configurada como "LINUX" referer_url se asigna a network.http.referral_url |
| /var/log/apache2/error.log | [Sun 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840.] | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip Se asignó client_port a principal.port error_message se asignó a security_result.description target_ip se asigna a target.ip referer_url se asigna a network.http.referral_url network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Sáb 02 de febrero 00:30:55 2019] Nueva conexión: [conexión: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. client_ip se asigna a principal.ip Se asignó client_port a principal.port Se asigna connection_id a network.session_id. network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Sáb Feb 02 00:30:55 2019] Nueva solicitud: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. request_id se asigna a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip Se asignó client_port a principal.port El pid se asigna a target.process.parent_process.pid. Se asigna connection_id a network.session_id. network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Sáb. Feb 02 00:30:55 2019] [información] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [cliente 192.0.2.1:50784] AH001. | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_level se asigna a security_result.severity request_id se asigna a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip Se asignó client_port a principal.port El pid se asigna a target.process.parent_process.pid. Se asigna connection_id a network.session_id. error_message se asignó a security_result.description file_path se asignó a target.file.full_path network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/access.log | 192.0.2.1 - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36" (Windows NT 10.0; Win64; x64) AppleWebKiteck/537.36 | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip se asigna a principal.ip userid se asigna a principal.user.userid host se asignó a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp. se asigna a network.http.method el recurso se asigna a principal.resource.name El valor de client_protocol se asigna a network.application_protocol result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Ene/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host se asigna a target.hostname
target_port se asigna a target.port client_ip se asigna a principal.ip userid se asigna a principal.user.userid host se asignó a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp. se asigna a network.http.method el recurso se asigna a principal.resource.name result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” network.application_protocol está configurado como "HTTP" |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Ene/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip se asigna a principal.ip userid se asigna a principal.user.userid se asigna a network.http.method la ruta de acceso se asignó a target.url result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” network.application_protocol está configurado como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | la ruta de acceso se asignó a target.url referer_url se asigna a network.http.referral_url network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent se asigna a network.http.user_agent network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NTx NT6.0)" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time se asigna a metadata.timestamp La ip se asigna a target.ip principal_ip se asigna a principal.ip principal_user_userid se asignó a principal.user.userid metadata_timestamp se asigna a la marca de tiempo http_method se asigna a network.http.method resource_name se asigna a principal.resource.name protocolo asignado a network.application_protocol = (HTTP) response_code se asigna a network.http.response_code {/8}_bytes se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent target.platform está configurada como "LINUX" metadata.vendor_name se configura en “NGINX” metadata.product_name se configura en “NGINX” network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" falló (2: No existe ese archivo o directorio), client: 192.0.2.1, server: localhost, request: \“GET /nginx_status\”. | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
internal_message2 se asigna a “{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", “{security_description}” |
NETWORK_HTTP | subproceso_id se asignó a principal.process.pid severity se asigna a security_result.severity. (la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, la notificación se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, la crítica se asigna a CRITICAL, la alerta se asigna a HIGH) target_file_full_path se asigna a target.file.full_path principal_ip se asigna a principal.ip target_hostname se asigna a target.hostname http_method se asigna a network.http.method resource_name se asigna a principal.resource.name el protocolo se asigna a “TCP” target_ip se asigna a target.ip target_port se asigna a target.port security_description + security_result_description_2 se asignan a security_result.description. pid se asigna a principal.process.parent_process.pid network.application_protocol está configurado como "HTTP" la marca de tiempo se asigna a {year}/{day}/{month} a {time} target.platform está configurada como "LINUX" metadata.vendor_name se configura en “NGINX” metadata.product_name se configura en “NGINX” network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falló la verificación de comandos obligatorios | [<message_text>]{security_description}. | ACTUALIZACIÓN DE ESTADO | time se asigna a metadata.timestamp security_description se asigna a security_result.description principal.platform se estableció como "LINUX" metadata.vendor_name se estableció como “RootKit Hunter” El archivo metadata.product_name se estableció como "RootKit Hunter". |
| var/log/rkhunter.log | [14:09:52] Buscando el archivo "/dev/.oz/.nap/rkit/terror" [ No se encontró ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description
file_path se asignó a target.file.full_path security_description se asigna a security_result.description principal.platform se estableció como "LINUX" metadata.vendor_name se estableció como “RootKit Hunter” El archivo metadata.product_name se estableció como "RootKit Hunter". |
| var/log/rkhunter.log | fluentd: Se redujo el tamaño del archivo (nodo se mantuvo): “/var/log/rkhunter.log”. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time se asigna a metadata.timestamp metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path principal.platform se estableció como "LINUX" metadata.vendor_name se estableció como “RootKit Hunter” El archivo metadata.product_name se estableció como "RootKit Hunter". |
| /var/log/kern.log | 28 de abril 12:41:35 kernel de localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". metadata_description se asigna a “metadata.description” metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". principal.platform se estableció como "LINUX" |
| /var/log/kern.log | 6 de julio 11:17:01 Kernel de Ubuntu18: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU a 2.20 GHz (familia: 0x6, modelo: 0x55, paso: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". principal_asset_hardware_cpu_model se asigna a "principal.asset.hardware.cpu_model" metadata_description se asigna a “metadata.description” metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". principal.platform se estableció como "LINUX" cpu_model se asigna a principal.asset.hardware.cpu_model. |
| /var/log/syslog.log | 24 de mayo 10:30:42 Ubuntu18 systemd[1]: Se inició la sesión 112 del usuario kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid el mensaje se asigna a metadata.description metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". principal.platform se estableció como "LINUX" Command_line se asigna a principal.process.command_line. |
| /var/log/syslog.log | 6 de julio 10:14:37 Ubuntu18 rsyslogd: El ID de usuario de rsyslogd cambió a 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | El valor de collect_time se asigna a metadata.collected_timestamp nombre de host se asignó a principal.hostname el mensaje se asigna a metadata.description user_id se asigna a principal.user.userid Command_line se asigna a principal.process.command_line. metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". principal.platform se estableció como "LINUX" |
| /var/log/syslog.log | 06 de julio 10:36:48 Ubuntu18 systemd[1]: Iniciando servicio de registro del sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid el mensaje se asigna a metadata.description metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". principal.platform se estableció como "LINUX" Command_line se asigna a principal.process.command_line. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [O.2VPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOUSERNAME/198.51.100.1:16245 MULTI: Más información: AUTO.0.198.198.198.198.198.198.18 | {timestamp}[stdout#{log_level}][OVPN <message_text>]SALIDA:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity local_ip se asigna a principal.ip target_ip se asigna a target.ip target_hostname se asignó a principal.hostname puerto se asigna a target.port el usuario se asigna a principal.user.user_display_name metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Versiones de la biblioteca: OpenSSL 1.1.1 11 de septiembre de 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity msg se asigna a security_result.description metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" se asignó el mensaje a (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
ACTUALIZACIÓN DE ESTADO | principal.platform se estableció como "LINUX" target_ip se asigna a target.ip target_port se asigna a target.port severity se asigna a security_result.severity. la marca de tiempo se asigna a metadata.timestamp metadata.vendor_name se configura como OpenVPN metadata.product_name se configura como OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AC08] Conexión entre pares (o compatible con AUTO196.NET.NET63.NET6.NET6.NET6.NET.8.NET6.NET6.NET6.NET.8.NET.8.NET.8.NET.8.NET.8.NET.8.NET.8.NET.8.NET.AC6.NET | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") mensaje se asigna a <message_text>con[<message_text>]<message_text>:{port}<message_text> |
ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity metadata.vendor_name se configura como OpenVPN metadata.product_name se configura como OpenVPN Access Server principal.platform se estableció en Linux target_ip se asigna a target.ip target_port se asigna a target.port target_hostname se asigna a target.hostname intermediary_ip se asigna a intermediario.ip |
| var/log/openvpnas.log | 2022-04-69T10:51:22+0530 | {timestamp}[stdout#{log_level}][OVPN <message_text>]SALIDA:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity el mensaje se asigna a metadata.description el usuario está asignado a target.hostname La ip se asigna a target.ip el puerto se asigna a taregt.port metadata.vendor_name se configura como OpenVPN metadata.product_name se configura como OpenVPN Access Server principal.platform se estableció en Linux |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity este mensaje se asigna a security_result.description summary se asigna a security_result.summary Se asignó user_name a principal.user.user_display_name la CLI se asigna a principal.process.command_line estado se asigna a principal.user.user_authentication_status metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - El acceso a la clave de configuración “[filterNames]” mediante la notación de puntos está obsoleto y se quitará en una versión futura. En su lugar, usa “config.getProperty(key, targetClass)”. | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
ACTUALIZACIÓN DE ESTADO | Command_line se asigna a “target.process.command_line”.
La file_path se asigna a "target.process.file.full_path" la marca de tiempo se asigna a "metadata.event_timestamp" gravedad se asigna a "security_result.severity" summary se asigna a "security_result.summary" security_description se asigna a "security_result.description" Los metadatos.product_name están configurados como "FLUENTD". metadata.vendor_name está configurado como “FLUENTD” |
| /var/log/auth.log | 4 de julio 19:26:19 Ubuntu18 systemd-logind[982]: Se quitó la sesión 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | la marca de tiempo se asigna a “metadata.timestamp” principal_hostname se asigna a target.hostname si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es “USER_LOGOUT”; de lo contrario, se asigna a “principal.application” pid se asigna a target.process.pid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.process.pid. security_description se asigna a "security_result.description" network_session_id se asignó a "network.session_id" principal_user_userid se asigna a principal.user.userid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a target.user.userid. "principal.platform" se estableció en "LINUX" Si el evento security_description se quita de la sesión, el event_type se establece como USER_LOGOUT. extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/auth.log | 27 de junio 11:07:17 Ubuntu18 systemd-logind[804]: Nueva sesión 564 de raíz del usuario. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” principal_hostname se asigna a target.hostname si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es “USER_LOGOUT”; de lo contrario, se asigna a “principal.application” pid se asigna a target.process.pid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.process.pid. security_description se asigna a "security_result.description" network_session_id se asignó a "network.session_id" principal_user_userid se asigna a principal.user.userid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a target.user.userid. "principal.platform" se estableció en "LINUX" “network.application_protocol” se asignó a “SSH” if(new_session) event_type se establece en USER_ACCESS. extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/auth.log | 27 de junio 11:07:17 Ubuntu18 sshd[9349]: Contraseña aceptada para la raíz desde 198.51.100.1, puerto 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” principal_hostname se asigna a target.hostname si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es “USER_LOGOUT”; de lo contrario, se asigna a “principal.application” pid se asigna a target.process.pid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.process.pid. security_description se asigna a "security_result.description" principal_user_userid se asigna a principal.user.userid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a target.user.userid. principal_ip se asigna a “principal.ip” principal_port se asigna a "principal.port" security_result_detection_fields_ssh_kv se asigna a “security_result.detection_fields.key/value” security_result_detection_fields_kv se asigna a “security_result.detection_fields.key/value” "principal.platform" se estableció en "LINUX" “network.application_protocol” está configurado como “SSH” metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/auth.log | 28 de abril 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; Command=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a principal.hostname principal_application se asignó a principal.application pid se asigna a principal.process.pid principal_user_userid se asignó a target.user.userid security_description se asigna a "security_result.description" principal_process_command_line_1 se asigna a "principal.process.command_line". principal_process_command_line_2 se asigna a "principal.process.command_line". principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" se estableció en "LINUX" |
| /var/log/auth.log | 4 de julio 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sesión abierta para raíz del usuario por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a target.hostname si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es “USER_LOGOUT”; de lo contrario, se asigna a “principal.application” pid se asigna a target.process.pid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.process.pid. security_description se asigna a "security_result.description" principal_user_userid se asigna a principal.user.userid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a target.user.userid. principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" se estableció en "LINUX" “network.application_protocol” está configurado como “SSH” metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/auth.log | 4 de julio 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sesión cerrada para la raíz del usuario | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a target.hostname si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es “USER_LOGOUT”; de lo contrario, se asigna a “principal.application” pid se asigna a target.process.pid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.process.pid. security_description se asigna a "security_result.description" principal_user_userid se asigna a principal.user.userid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a target.user.userid. principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value "principal.platform" se estableció en "LINUX" metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/auth.log | 30 de junio 11:32:26 Ubuntu18 sshd[29425]: Se restableció la conexión con la autenticación de la raíz del usuario 198.51.100.1, puerto 52518 [preauth]. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a target.hostname si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es “USER_LOGOUT”; de lo contrario, se asigna a “principal.application” pid se asigna a target.process.pid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a principal.process.pid. security_description se asigna a security_result.description security_summary se asigna a security_result.summary. principal_user_userid se asigna a principal.user.userid si el valor es “USER_LOGOUT”; de lo contrario, se asigna a target.user.userid. target_ip se asigna a target.ip target_port se asigna a target.port principal.platform" está configurado como "LINUX" metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(inicializar_winbindd_cache)Initialize_winbindd_cache: borrar la caché y volver a crearla con el número de versión 2. | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a “metadata.timestamp” El pid se asigna a “principal.process.pid”. principal_user_attribute_labels_kv se asigna a "principal.user.attribute.labels" principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels". principal_user_userid se asigna a “principal.user.userid” principal_group_product_object_id se asigna a "principal.group.product_object_id" security_description se asigna a "security_result.description" metadata_description se asigna a “metadata.description” metadata.product_name” está configurado como “FLUENTD” metadata.vendor_name” está configurado como “FLUENTD” |
| var/log/samba/log.winbindd | Messaging_dgm_init: Error de vinculación: No queda espacio en el dispositivo | {user_id}: {desc} | ACTUALIZACIÓN DE ESTADO | metadata.product_name” está configurado como “FLUENTD” metadata.vendor_name” está configurado como “FLUENTD” user_id se asigna a principal.user.userid desc se asigna a metadata.description |
| /var/log/mail.log | 16 de julio de 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH0TP9,Daemon.22G6 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | ACTUALIZACIÓN DE ESTADO | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | ACTUALIZACIÓN DE ESTADO | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid resource_name se asigna a target.resource.name metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/mail.log | 7 de julio, 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: No se puede acceder a la red | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | ACTUALIZACIÓN DE ESTADO | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
| /var/log/mail.log | 7 de julio 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, Delay=0.01, Delay=0/0.01/0/0, dsn=2.0.0, status=sent (entregado al buzón) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado como “FLUENTD” Los metadatos.product_name están configurados como "FLUENTD". |
Auditar
Campos de registro de auditoría para campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| audaz | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| CWD | target.file.full_path |
| datos | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| familia | network.ip_protocol se establece en "IP6IN4" si "ip_protocol" == 2; de lo contrario, se configura como "UNKNOWN_IP_PROTOCOL" |
| tipo de archivo | target.file.mime_type |
| FIJO | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Nombre de host | target.hostname |
| tipo de icmp | network.ip_protocol está configurado como "ICMP" |
| id | Si [audit_log_type] == "ADD_USER", target.user.userid se establece en "%{id}".
Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id se establece en "%{id}". else target.user.attribute.labels.key/value se establece en id. |
| inodo | target.resource.product_object_id |
| clave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Standard | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| nueva-CPU virtual | target.resource.attribute.labels.key/value |
| nueva-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| ocommo | target.process.command_line |
| opid | target.process.pid |
| SO | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogido | target.group.product_object_id |
| ouid | target.user.userid |
| ruta de acceso | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Si [ip_protocol] == 2, network.ip_protocol se establece en “IP6IN4”
else network.ip_protocol se establece como "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| Resultado | security_result.summary |
| triste | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| SGID | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| correcto | Sisuccess=='yes', security_result.summary se establece en "system call was successfully" else security_result.summary se establece en "systemcall was failed" |
| suid | target.user.userid |
| llamada de sistema | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Si [audit_log_type] en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_POLICY] es la principal.
else uid está configurado como target.user.userid |
| vm | target.resource.name |
Tipos de registros de auditoría a tipo de evento de UDM
En la siguiente tabla, se enumeran los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Se activa cuando se agrega un grupo de espacio de usuario. |
| ADD_USER | USER_CREATION | Se activa cuando se agrega una cuenta de usuario del espacio de usuario. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anormal (con una señal que podría causar un volcado del núcleo, si está habilitado). |
| AVC | GENERIC_EVENT | Se activa para grabar una verificación de permisos de SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
| CRED_ACQ | USER_LOGIN | Se activa cuando un usuario adquiere credenciales del espacio del usuario. |
| CRED_DISP | USER_LOGOUT | Se activa cuando un usuario elimina las credenciales del espacio de usuario. |
| CRED_REFR | USER_LOGIN | Se activa cuando un usuario actualiza sus credenciales del espacio de usuario. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión TLS. |
| DCP | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Se activa cuando se detiene un daemon debido a un error. |
| DAEMON_END | PROCESS_TERMINATION | Se activa cuando se detiene correctamente un daemon. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd reanuda el registro. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
| DAEMON_START | PROCESS_LAUNCH | Se activa cuando se inicia el daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Se activa cuando se borra un grupo de espacio de usuario |
| Pendiente | USER_DELETION | Se activa cuando se borra un usuario del espacio de usuario. |
| EXECVE (EXECVE) | PROCESS_LAUNCH | Se activa para registrar argumentos de la llamada al sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano de SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec cuando se detecta uno o cuando cambia la configuración de IPSec. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política SELinux. |
| MAC_STATUS | GENERIC_EVENT | Se activa cuando se cambia el modo SELinux (aplicar, permisivo, desactivado). |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se agrega una etiqueta estática cuando se usan las funciones de etiquetado de paquetes del kernel que proporciona NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan las modificaciones de la cadena de Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía un indicador. |
| PATH | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta de acceso del nombre del archivo. |
| SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
| SERVICE_START | SERVICE_START | Se activa cuando se inicia un servicio. |
| SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
| SISTEMA | GENERIC_EVENT | Se activa para registrar una llamada del sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Se activa cuando cambia el nivel de ejecución del sistema. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
| USER_ACCT | SETTING_MODIFICATION | Se activa cuando se modifica una cuenta de usuario del espacio de usuario. |
| USER_AUTH | USER_LOGIN | Se activa cuando se detecta un intento de autenticación en el espacio del usuario. |
| USER_AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje AVC en el espacio del usuario. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de cuenta de usuario. |
| USER_CMD | USER_COMMUNICATION | Se activa cuando se ejecuta un comando de shell del espacio del usuario. |
| USER_END | USER_LOGOUT | Se activa cuando finaliza una sesión de espacio de usuario. |
| USER_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error de estado de cuenta de usuario. |
| USER_LOGIN | USER_LOGIN | Se activa cuando un usuario accede. |
| USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario sale de su cuenta. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon del espacio de usuario carga una política SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar los datos de la administración del espacio del usuario. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia el rol de SELinux de un usuario. |
| USER_START | USER_LOGIN | Se activa cuando se inicia una sesión de espacio de usuario. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio en la configuración del sistema del espacio del usuario. |
| VIRT_CONTROL | STATUS_UPDATE | Se activa cuando se inicia, se pausa o se detiene una máquina virtual. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta a una máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Envía campos de registro a los campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo electrónico y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| Clase | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Desde | network.email.from |
| MSID | network.email.mail_id |
| Proto | network.application_protocol |
| Retransmisión | intermediary.hostname
intermediary.ip |
| del vocab. | network.received_bytes |
| Estadísticas | security_result.summary |
| para | network.email.to |
Envía los tipos de registro por correo electrónico al tipo de evento de UDM.
La siguiente tabla enumera los tipos de registros de correo electrónico y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de correo electrónico | Tipo de evento de UDM |
|---|---|
| Enviar correo electrónico | ACTUALIZACIÓN DE ESTADO |
| retiro | EMAIL_UNCATEGORIZED |
| cleanup | ACTUALIZACIÓN DE ESTADO |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | ACTUALIZACIÓN DE ESTADO |
| local | EMAIL_UNCATEGORIZED |