Recopila registros de Fluentd
En este documento, se describe cómo recopilar registros de Fluentd mediante la configuración de Fluentd y un servidor de reenvío de Chronicle. En este documento, también se enumeran los tipos de registros compatibles y la versión de Fluentd compatible.
Para obtener más información, consulta Transferencia de datos a Chronicle.
Descripción general
En el siguiente diagrama de arquitectura de implementación, se muestra cómo Fluentd está instalado en el servidor de reenvío y el servidor agregador para enviar registros a Chronicle. Cada implementación del cliente puede diferir de esta representación y puede ser más compleja.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux. El sistema Linux que se supervisará. El sistema Linux consta de los archivos para supervisar y el servidor de reenvío de Fluentd.
Sistema Microsoft Windows. Es el sistema de Microsoft Windows que se supervisa en el que se instala el servidor de reenvío de Fluentd.
Reenvío de Fluentd. El servidor de reenvío de Fluentd recopila información del sistema de Microsoft Windows o Linux y reenvía la información al agregador de Fluentd.
Agregador de Fluentd. El agregador de Fluentd recibe registros del servidor de reenvío de Fluentd y los reenvía al servidor de reenvío de Chronicle.
Agente de reenvío de Chronicle. El servidor de reenvío de Chronicle es un componente de software liviano, implementado en la red del cliente, que es compatible con syslog. El servidor de reenvío de Chronicle reenvía los registros a Chronicle.
Chronicle Chronicle retiene y analiza los registros del agregador de Fluentd.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato estructurado de UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia FLUENTD.
Antes de comenzar
Asegúrate de que el servidor de reenvío de Fluentd esté instalado en los sistemas de Microsoft Windows o Linux que planeas supervisar. Para obtener más información sobre cómo instalar el reenvío de Fluentd, consulta Instalación de Fluentd.
Usa una versión de Fluentd compatible con el analizador Chronicle. El analizador de Chronicle admite la versión 1.0 de Fluentd.
Asegúrate de que el agregador de Fluentd esté instalado y configurado en el servidor central de Linux.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Verifica los tipos de registro que admite el analizador de Chronicle. En la siguiente tabla, se enumeran los productos y las rutas de acceso de los archivos de registro que admite el analizador de Chronicle:
Sistema operativo Producto Ruta de acceso del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux VPN abierta /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux cazador de arcadas /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux terraza de lanzamiento /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Configura el servidor de reenvío y el agregador de Fluentd, y el servidor de reenvío de Chronicle
Para supervisar los registros que generan los sistemas Linux, crea un archivo
td-agent.confa fin de especificar la configuración de supervisión de registros para el servidor de reenvío de Fluentd. Este es un ejemplo de un archivo de configuración para el servidor de reenvío de Fluentd en el sistema Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Para supervisar los registros que generan los sistemas de Microsoft Windows, crea un archivo
td-agent.confa fin de especificar la configuración de supervisión de registros para el servidor de reenvío de Fluentd. Este es un ejemplo de un archivo de configuración para el servidor de reenvío de Fluentd en el sistema Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Para reenviar los registros del agregador de Fluentd al servidor de reenvío de Chronicle, crea un archivo de configuración en el siguiente formato:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Configura el servidor de reenvío de Chronicle para enviar registros a Chronicle. Para obtener más información, consulta Instala y configura el servidor de reenvío en Linux. El siguiente es un ejemplo de una configuración de reenvío de Chronicle:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referencia de asignación de campos
En esta sección, se explica cómo el analizador aplica patrones grok para sistemas Linux y Microsoft Windows, y cómo asigna campos de registro de Fluentd a los campos Chronicle Unified Data Model (UDM) en cada tipo de registro.
Para obtener información sobre cómo asignar referencias de campos comunes, consulta Campos comunes.
Para obtener información de referencia sobre las rutas de acceso de registro, los patrones de grok para registros de ejemplo, los tipos de eventos y los campos de UDM en sistemas Linux, consulta las siguientes secciones:
- Linux
- Auditoría
- Tipo de evento de registro de auditoría
- Correo electrónico
- Tipo de evento de registro de correo electrónico
Para obtener información sobre eventos de Microsoft Windows compatibles y los campos de UDM correspondientes, consulta Datos de eventos de Microsoft Windows.
Campos comunes
En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.
| Campo de registro común | Campo de UDM |
|---|---|
| tiempo_recopilado | metadata.collected_timestamp |
| mensaje_interno.mensaje | mensaje_interno |
| inner_message.forwarder_hostname. | target.hostname o principal.hostname |
| ruta_mensaje_interna | fuente_evento |
Sistema Linux
En la siguiente tabla, se enumeran las rutas de acceso de registro del sistema Linux, el patrón grok para los registros de ejemplo, el tipo de evento y las asignaciones de UDM:
| Ruta del registro | Ejemplo de registro | Patrón de grosor | Tipo de evento | Asignación de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Jue 28 de abr, 16:13:01.283342 2022] [core:notice] | [{timestamp}][{log_module}:{log_level}][pid{pid}(<opcional_field>:tid{tid}|)](<opcional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se mapea a target.process.pid. El valor de client_ip está asignado a principal.ip El valor de client_port se ha asignado a principal.port El error_message se asigna a security_result.description network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/error.log | [Jue 28‐abr 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo conectar | [{timestamp}][{log_module}:{severity}][pid{pid}(<opcional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se mapea a target.process.pid. El error_message se asigna a security_result.description network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/error.log | [Jue 28 de abril de 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comando: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<opcional_field>:tid{tid}|)](<opcional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referente{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” La marca de tiempo se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se mapea a target.process.pid. El valor de client_ip está asignado a principal.ip El valor de client_port se ha asignado a principal.port El error_message se asigna a security_result.description target.platform está configurado como "LINUX" referer_url se asigna a network.http.referral_url |
| /var/log/apache2/error.log | [Domingo 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH01114: HTTP: 2.4:2. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<opcional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: ?{error_message}:( {target_ip})(<opcional_field>, referente{referer_url})?" | HTTP_RED | La marca de tiempo se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se mapea a target.process.pid. El valor de client_ip está asignado a principal.ip El valor de client_port se ha asignado a principal.port El error_message se asigna a security_result.description target_ip se asigna a target.ip referer_url se asigna a network.http.referral_url network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/error.log | [Sáb 02 feb 00:30:55 2019] Nueva conexión: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp El valor de client_ip está asignado a principal.ip El valor de client_port se ha asignado a principal.port El valor de connection_id se asigna a network.session_id network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/error.log | [Sab | [{timestamp}]<message_text>request:[conexión:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp El ID de solicitud se asigna a security_result.detection_fields.(clave/valor) El valor de client_ip está asignado a principal.ip El valor de client_port se ha asignado a principal.port El pid se asigna a target.process.parent_process.pid. El valor de connection_id se asigna a network.session_id network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/error.log | [Sab | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<opcional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp log_level se asigna a security_result.severity El ID de solicitud se asigna a security_result.detection_fields.(clave/valor) El valor de client_ip está asignado a principal.ip El valor de client_port se ha asignado a principal.port El pid se asigna a target.process.parent_process.pid. El valor de connection_id se asigna a network.session_id El error_message se asigna a security_result.description El archivo_ruta se asigna a target.file.full_path network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/abr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36.39.39.39.39.39.39. | ({client_ip})?<message_text>{userid}[{timestamp}](<opcional_field>{method}/(<opcional_field>{resource})) {client_protocol}?){result_status}{object_size}(<opcional_field>(<opcional_field>{referer_url}?))(<opcional_field>{user_agent}?)? | HTTP_RED | El valor de client_ip está asignado a principal.ip El ID de usuario se asigna a principal.user.userid el host está asignado a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp se asigna a network.http.method El recurso se asigna a principal.resource.name client_protocol se asigna a network.application_protocol El estado_resultado se asigna a network.http.response_code El tamaño del objeto se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url El valor user_agent está asignado a network.http.user_agent. network.ip_protocol está configurado en "TCP" network.direction está configurado en "OUTBOUND" network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| var/log/apache2/other_vhosts_access.log | Victoriatest.abc.com:80 | {target_host}:{NUMBER:target_port} {client_ip} - (<opcional_field>{host}) [{timestamp}](<opcional_field>{method}/(<opcional_field>{resource}?){client_protocol}?){result_status}{object_size}(<opcional_field>{referer_url}?)(<opcional_field>{user_agent}?) | HTTP_RED | target_host para target.hostname
target_port se asigna a target.port El valor de client_ip está asignado a principal.ip El ID de usuario se asigna a principal.user.userid el host está asignado a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp se asigna a network.http.method El recurso se asigna a principal.resource.name El estado_resultado se asigna a network.http.response_code El tamaño del objeto se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url El valor user_agent está asignado a network.http.user_agent. network.ip_protocol está configurado en "TCP" network.direction está configurado en "OUTBOUND" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” network.application_protocol está configurado en "HTTP" |
| var/log/apache2/novnc-server-access.log | Victoriatest.abc.com:80 | {target_host}:{NUMBER:target_port} {client_ip} - (<opcional_field>{host}) [{timestamp}](<opcional_field>{method}/(<opcional_field>{resource}?){client_protocol}?){result_status}{object_size}(<opcional_field>{referer_url}?)(<opcional_field>{user_agent}?) | HTTP_RED | El valor de client_ip está asignado a principal.ip El ID de usuario se asigna a principal.user.userid se asigna a network.http.method la ruta se mapea a target.url El estado_resultado se asigna a network.http.response_code El tamaño del objeto se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url El valor user_agent está asignado a network.http.user_agent. network.ip_protocol está configurado en "TCP" network.direction está configurado en "OUTBOUND" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” network.application_protocol está configurado en "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com, | (<opcional_field>{referer_url}?)->(<opcional_field>{path}?) | GENERIC_EVENT | la ruta se mapea a target.url referer_url se asigna a network.http.referral_url network.direction está configurado en "OUTBOUND" target.platform está configurado como "LINUX" network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<opcional_field>{user_agent}) | GENERIC_EVENT | El valor user_agent está asignado a network.http.user_agent. network.direction está configurado en "OUTBOUND" target.platform está configurado como "LINUX" network.application_protocol está configurado en "HTTP" target.platform está configurado como "LINUX" metadata.vendor_name está configurado como “Apache” metadata.product_name está configurado en “Apache HTTP Server” |
| var/registro/nginx/access.log | 192.0.2.1 - admin [05/mayo/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0.2.3.4 | {principal_ip}: (<opcional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<opcional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<opcional_field>{referer_url}) ({user_agent}|{user_agent})? | HTTP_RED | la hora se asigna a metadata.timestamp La dirección IP está asignada a target.ip principal_ip se asigna a principal.ip principal_user_userid se asigna a principal.user.userid metadata_timestamp se asigna a la marca de tiempo http_method se asigna a network.http El valor resource_name se asigna a principal.resource.name se mapea al protocolo network.application_protocol = (HTTP) response_code se mapea a network.http.response_code Received_bytes se asignó a network.sent_bytes referer_url se asigna a network.http.referral_url El valor user_agent está asignado a network.http.user_agent. target.platform está configurado como "LINUX" metadata.vendor_name está configurado en “NGINX” metadata.product_name está configurado como “NGINX” network.ip_protocol está configurado en "TCP" network.direction está configurado en "OUTBOUND" |
| var/log/nginx/error.log. | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" falló (2: no existe ese archivo o directorio), cliente: 192.0.2.1, server: localhost, request: \"GET /nginx_status2:0.2.2 | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 se mapea a "{security_result_description_2},client:{principal_ip},server:(<opcional_field>{target_hostname}?),request:"{http_method} /(<opcional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} falló ({security_description})", "\*{cid}{security_description}": “{security_description}” |
HTTP_RED | Se asignó el ID del subproceso a principal.process.pid La gravedad se asigna a security_result.severity. (la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, el aviso se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, el crit se asigna a CRITICAL, la alerta se asigna a HIGH) target_file_full_path se orienta a target.file.full_path principal_ip se asigna a principal.ip target_hostname en target.hostname http_method se asigna a network.http El valor resource_name se asigna a principal.resource.name el protocolo se asigna a "TCP" target_ip se asigna a target.ip target_port se asigna a target.port security_description + security_result_description_2 se asigna a security_result.description El pid se asigna a principal.process.parent_process.pid network.application_protocol está configurado en "HTTP" la marca de tiempo se asigna a {year}/{day}/{month} {time} target.platform está configurado como "LINUX" metadata.vendor_name está configurado en “NGINX” metadata.product_name está configurado como “NGINX” network.ip_protocol está configurado en "TCP" network.direction está configurado en "OUTBOUND" |
| var/registro/rkhunter.log | [14:10:40] Error en la verificación de comandos necesarios | [<message_text>]{security_description} | ACTUALIZACIÓN DE ESTADO | la hora se asigna a metadata.timestamp security_description se asigna a security_result.description principal.platform se estableció en "LINUX" metadata.vendor_name está configurado como "RootKit Hunter" metadata.product_name está configurado como "RootKit Hunter" |
| var/registro/rkhunter.log | [14:09:52] Buscando el archivo "/dev/.oz/.nap/rkit/terror" [No encontrado ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description
El archivo_ruta se asigna a target.file.full_path security_description se asigna a security_result.description principal.platform se estableció en "LINUX" metadata.vendor_name está configurado como "RootKit Hunter" metadata.product_name está configurado como "RootKit Hunter" |
| var/registro/rkhunter.log | fluentd: Tamaño de archivos reducido (nodo restante): '/var/log/rkhunter.log' | (<opcional_field><message_text>):{metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | la hora se asigna a metadata.timestamp metadata_description se asigna a metadata.description El archivo_ruta se asigna a target.file.full_path principal.platform se estableció en "LINUX" metadata.vendor_name está configurado como "RootKit Hunter" metadata.product_name está configurado como "RootKit Hunter" |
| /var/log/kern.log | 28 de abril de 12:41:35 núcleo de host local: [5079.912215] ctnetlink v0.93: registro con nfnetlink. | {marca de tiempo}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a “metadata.event_timestamp” principal_hostname se asigna a “principal.hostname” El campo metadata_product_event_type se asigna a “metadata.product_event_type” metadata_description se asigna a “metadata.description” metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” principal.platform se estableció en "LINUX" |
| /var/log/kern.log | Jul 6 11:17:01 Kernel de Ubuntu18: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU a 2.20 GHz (familia: 0x6, modelo: 0x55, paso: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a “metadata.event_timestamp” principal_hostname se asigna a “principal.hostname” El campo metadata_product_event_type se asigna a “metadata.product_event_type” principal_asset_hardware_cpu_model se asigna a "principal.asset.hardware.cpu_model" metadata_description se asigna a “metadata.description” metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” principal.platform se estableció en "LINUX" cpu_model se asigna a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 24 de mayo: 10:30:42 Ubuntu18 systemd[1]: Sesión iniciada 112 del usuario kajal. | {collected_timestamp}{hostname}{command_line}(<opcional_field>[{pid}]):{message} | ACTUALIZACIÓN DE ESTADO | collect_time se mapea a metadata.event_timestamp El nombre de host se asigna a principal.hostname El pid se asigna a principal.process.pid. el mensaje se asigna a metadata.description metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” principal.platform se estableció en "LINUX" El campo Command_line está asignado a principal.process.command_line |
| /var/log/syslog.log | 06-jul 10:14:37 Ubuntu18 rsyslogd: el ID de usuario de rsyslogd cambió a 102. | {collected_timestamp}{hostname}{command_line}:{message}para{user_id} | ACTUALIZACIÓN DE ESTADO | collect_time se mapea a metadata.collected_timestamp El nombre de host se asigna a principal.hostname el mensaje se asigna a metadata.description El valor user_id se asigna a principal.user.userid El campo Command_line está asignado a principal.process.command_line metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” principal.platform se estableció en "LINUX" |
| /var/log/syslog.log | 06‐jul 10:36:48 Ubuntu18 systemd[1]: Iniciando el servicio de Registro del sistema... | {collected_timestamp}{hostname}{command_line}(<opcional_field>|[{pid}]):{message} | ACTUALIZACIÓN DE ESTADO | collect_time se mapea a metadata.event_timestamp El nombre de host se asigna a principal.hostname El pid se asigna a principal.process.pid. el mensaje se asigna a metadata.description metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” principal.platform se estableció en "LINUX" El campo Command_line está asignado a principal.process.command_line |
| var/registro/openvpnas.log | 2022-4 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<opcional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<opcional_field>'|") | HTTP_RED | La marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity local_ip se asigna a principal.ip target_ip se asigna a target.ip target_hostname en principal.hostname El puerto está asignado a target.port. El usuario está asignado a principal.user.user_display_name metadata.vendor_name está configurado como "OpenVPN" metadata.product_name está configurado como "Servidor VPN de acceso abierto" principal.platform se estableció en "LINUX" |
| var/registro/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 versiones de biblioteca: OpenSSL 1.1.1 11 de septiembre de 2018, LZO 2.08' | {marca de tiempo}[stdout#{log_level}][OVPN <message_text>]SALE:(<opcional_field>'|")<message_text>{msg}(<opcional_field>'|") | ACTUALIZACIÓN DE ESTADO | La marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity msg se asigna a security_result.description metadata.vendor_name está configurado como "OpenVPN" metadata.product_name está configurado como "Servidor VPN de acceso abierto" principal.platform se estableció en "LINUX" |
| var/registro/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {marca de tiempo}[stdout#{log_level}][OVPN <message_text>]SALE:<opcional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<opcional_field>'|" se asignó el mensaje a (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
ACTUALIZACIÓN DE ESTADO | principal.platform se estableció en "LINUX" target_ip se asigna a target.ip target_port se asigna a target.port La gravedad se asigna a security_result.severity. La marca de tiempo se asigna a metadata.timestamp metadata.vendor_name está configurado en OpenVPN metadata.product_name está configurado en el servidor de acceso OpenVPN |
| var/registro/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTONET] Peer Connection Initiated con [0.2.2.22.2.22.E.2.22 E-82. | {marca de tiempo}[stdout#{log_level}][OVPN <message_text>]SALE:(<opcional_field>'|")<message_text>{message}(<opcional_field>'|") se mapea a <message_text>con[<message_text>]<message_text>:{port}<message_text> |
ACTUALIZACIÓN DE ESTADO | La marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity metadata.vendor_name está configurado en OpenVPN metadata.product_name está configurado en el servidor de acceso OpenVPN principal.platform está configurado en Linux target_ip se asigna a target.ip target_port se asigna a target.port target_hostname en target.hostname Intermedia_ip se asigna a intermediario.ip |
| var/registro/openvpnas.log | SUENA DE SENTAL | {timestamp}[stdout#{log_level}][OVPN <message_text>]SALE:(<opcional_field>'|")<message_text>{user}\/{ip}:{message}(<opcional_field>'|") | ACTUALIZACIÓN DE ESTADO | La marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity el mensaje se asigna a metadata.description El usuario está asignado a target.hostname. La dirección IP está asignada a target.ip El puerto está asignado a taregt.port. metadata.vendor_name está configurado en OpenVPN metadata.product_name está configurado en el servidor de acceso OpenVPN principal.platform está configurado en Linux |
| var/registro/openvpnas.log | '2' '2 | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | ACTUALIZACIÓN DE ESTADO | La marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity el mensaje se asigna a security_result.description El resumen se asigna a security_result.summary El valor user_name se asigna a principal.user.user_display_name La CLI se asigna a principal.process.command_line El estado se asigna a principal.user.user_authentication_status metadata.vendor_name está configurado como "OpenVPN" metadata.product_name está configurado como "Servidor VPN de acceso abierto" principal.platform se estableció en "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - El acceso a la clave de configuración "[filterNames]" a través de la notación de puntos dejó de estar disponible y se quitará en una versión futura. En su lugar, usa "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
ACTUALIZACIÓN DE ESTADO | El comando_line está asignado a "target.process.command_line"
file_path se asigna a "target.process.file.full_path" la marca de tiempo se asigna a “metadata.event_timestamp” La gravedad se asigna a "security_result.severity". El resumen está asignado a "security_result.summary". security_description se asigna a “security_result.description” metadata.product_name se configuró como “FLUENTD” metadata.vendor_name está configurado en "FLUENTD" |
| /var/log/auth.log | 4 de julio 19:26:19 Ubuntu18 systemd-logind[982]: Se quitó la sesión 153. | {timestamp} {principal_hostname}{principal_application}(<opcional_field>[{pid}]):{security_description}{network_session_id}?(del usuario{principal_user_userid})? | USER_LOGOUT | la marca de tiempo se asigna a “metadata.timestamp” principal_hostname se asigna a target.hostname si el valor es "USER_LOGOUT"; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application" El pid se asigna a target.process.pid si el valor es "USER_LOGOUT", de lo contrario, se asigna al principal.process.pid. security_description se asigna a “security_result.description” El valor de network_session_id se asigna a "network.session_id" principal_user_userid se asigna a principal.user.userid si el valor es "USER_LOGOUT"; de lo contrario, se asigna al target.user.userid. "principal.platform" se estableció en "LINUX" Si event_description se quita, significa que event_type se establece en USER_LOGOUT. extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/auth.log | 27 de junio de 11:07:17 Ubuntu18 systemd-logind[804]: Nueva sesión 564 de la raíz del usuario. | {timestamp} {principal_hostname}{principal_application}(<opcional_field>[{pid}]):{security_description}{network_session_id}?(del usuario{principal_user_userid})? | USUARIO_ACCEDER | la marca de tiempo se asigna a “metadata.timestamp” principal_hostname se asigna a target.hostname si el valor es "USER_LOGOUT"; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application" El pid se asigna a target.process.pid si el valor es "USER_LOGOUT", de lo contrario, se asigna al principal.process.pid. security_description se asigna a “security_result.description” El valor de network_session_id se asigna a "network.session_id" principal_user_userid se asigna a principal.user.userid si el valor es "USER_LOGOUT"; de lo contrario, se asigna al target.user.userid. "principal.platform" se estableció en "LINUX" "network.application_protocol" está asignado a "SSH" Si(new_session) event_type se establece en USER_LOGIN extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/auth.log | 27 de junio de 11:07:17 Ubuntu18 sshd[9349]: Contraseña aceptada para la raíz de 198.51.100.1 puerto 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<opcional_field>[{pid}])<opcional_field> {security_description} para (usuario no válido )?{principal_user_userid} del puerto {principal_ip} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_kv}) | USUARIO_ACCEDER | la marca de tiempo se asigna a “metadata.timestamp” principal_hostname se asigna a target.hostname si el valor es "USER_LOGOUT"; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application" El pid se asigna a target.process.pid si el valor es "USER_LOGOUT", de lo contrario, se asigna al principal.process.pid. security_description se asigna a “security_result.description” principal_user_userid se asigna a principal.user.userid si el valor es "USER_LOGOUT"; de lo contrario, se asigna al target.user.userid. principal_ip se asigna a "principal.ip" principal_port se asigna a "principal.port" security_result_detection_fields_ssh_kv está asignado a “security_result.detection_fields.key/value” security_result_detection_fields_kv se asigna a “security_result.detection_fields.key/value” "principal.platform" se estableció en "LINUX" "network.application_protocol" está configurado como "SSH" metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/auth.log | 28 de abril 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<opcional_field>[{pid}])<opcional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal | ACTUALIZACIÓN DE ESTADO | La marca de tiempo se asigna a metadata.timestamp principal_hostname corresponde a principal.hostname principal_application se asigna a principal.application El pid se asigna a principal.process.pid. principal_user_userid se asigna a target.user.userid security_description se asigna a “security_result.description” principal_process_command_line_1 está asignado a "principal.process.command_line" principal_process_command_line_2 está asignado a "principal.process.command_line" principal_user_attribute_labels_uid_kv está asignado a "principal.user.attribute.labels.key/value" "principal.platform" se estableció en "LINUX" |
| /var/log/auth.log | 4 de julio de 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session open for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<opcional_field>[{pid}])<opcional_field> {security_description} para (usuario no||usuario?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_k}))?$ | USUARIO_ACCEDER | La marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a target.hostname si el valor es "USER_LOGOUT"; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application" El pid se asigna a target.process.pid si el valor es "USER_LOGOUT", de lo contrario, se asigna al principal.process.pid. security_description se asigna a “security_result.description” principal_user_userid se asigna a principal.user.userid si el valor es "USER_LOGOUT"; de lo contrario, se asigna al target.user.userid. principal_user_attribute_labels_uid_kv está asignado a "principal.user.attribute.labels.key/value" "principal.platform" se estableció en "LINUX" "network.application_protocol" está configurado como "SSH" metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/auth.log | 4 de julio, 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sesión cerrada para la raíz del usuario | {timestamp} {principal_hostname}{principal_application}<opcional_filed>[{pid}]: {security_description} para (usuario no válido|usuario){principal_user_userid} | USER_LOGOUT | La marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a target.hostname si el valor es "USER_LOGOUT"; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application" El pid se asigna a target.process.pid si el valor es "USER_LOGOUT", de lo contrario, se asigna al principal.process.pid. security_description se asigna a “security_result.description” principal_user_userid se asigna a principal.user.userid si el valor es "USER_LOGOUT"; de lo contrario, se asigna al target.user.userid. se asigna principal_user_attribute_labels_uid_kv a principal.user.attribute.labels.key/value "principal.platform" se estableció en "LINUX" metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/auth.log | 30 de junio 11:32:26 Ubuntu18 sshd[29425]: Conexión restablecida autenticando la raíz del usuario 198.51.100.1 puerto 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<opcional_field>[{pid}]):{security_description}(desde|{principal_user_userid}){target_ip}port{target_port}<opcional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | La marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a target.hostname si el valor es "USER_LOGOUT"; de lo contrario, se asigna a principal.hostname principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application" El pid se asigna a target.process.pid si el valor es "USER_LOGOUT", de lo contrario, se asigna al principal.process.pid. security_description se asigna a security_result.description security_summary se asigna a security_result.summary principal_user_userid se asigna a principal.user.userid si el valor es "USER_LOGOUT"; de lo contrario, se asigna al target.user.userid. target_ip se asigna a target.ip target_port se asigna a target.port principal.platform" está configurada como "LINUX" metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: borra la caché y vuelve a crear con la versión número 2 | {timestamp},{severity}(<opcional_field>, pid={pid},eficaz({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | ACTUALIZACIÓN DE ESTADO | la marca de tiempo se asigna a “metadata.timestamp” El pid está asignado a "principal.process.pid". principal_user_attribute_labels_kv se asigna a "principal.user.attribute.labels" principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels" principal_user_userid se asigna a "principal.user.userid" principal_group_product_object_id se asigna a “principal.group.product_object_id” security_description se asigna a “security_result.description” metadata_description se asigna a “metadata.description” metadata.product_name está configurado en “FLUENTD” metadata.vendor_name" está configurado en "FLUENTD" |
| var/log/samba/log.winbindd | Messaging_dgm_init: Error de vinculación: No hay espacio en el dispositivo | {user_id}: {desc} | ACTUALIZACIÓN DE ESTADO | metadata.product_name está configurado en “FLUENTD” metadata.vendor_name" está configurado en "FLUENTD" El valor user_id se asigna a principal.user.userid desc se asigna a metadata.description |
| /var/log/mail.log | 16 de julio 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6RewH420 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | ACTUALIZACIÓN DE ESTADO | target_hostname en target.hostname La aplicación está mapeada a target.application. El pid se asigna a target.process.pid. metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname en target.hostname La aplicación está mapeada a target.application. El pid se asigna a target.process.pid. metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | ACTUALIZACIÓN DE ESTADO | target_hostname en target.hostname La aplicación está mapeada a target.application. El pid se asigna a target.process.pid. El campo resource_name está asignado a target.resource.name metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname en target.hostname La aplicación está mapeada a target.application. El pid se asigna a target.process.pid. metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/mail.log | 7 de julio 13:44:01 prod postfix/smtp[23436]: Conéctate a gmail-smtp-in.l.abc.com[2607:xxxx:xxxx:xxx::xx]:25:Red: No se puede acceder a la red | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | ACTUALIZACIÓN DE ESTADO | target_hostname en target.hostname La aplicación está mapeada a target.application. El pid se asigna a target.process.pid. metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
| /var/log/mail.log | 7 de julio 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, forwarding=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (entregado al buzón) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname en target.hostname La aplicación está mapeada a target.application. El pid se asigna a target.process.pid. metadata.vendor_name está configurado en "FLUENTD" metadata.product_name se configuró como “FLUENTD” |
Auditar
Campos de registro de auditoría en campos UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| cuenta | target.user.user_display_name |
| sumador | principal.ip |
| arco | about.labels.key/value |
| auid | target.user.userid |
| grupo | principal.process.file.full_path |
| cmd | target.process.command_line |
| comunicación | aplicación.target |
| CWD | target.file.full_path, |
| datos | about.labels.key/value |
| desajor | about.labels.key/value |
| devorador | about.labels.key/value |
| egid | target.group.product_object_id [id_objeto_producto] |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/valor |
| familia | network.ip_protocol está configurado en "IP6IN4" si "ip_protocol" == 2 más está configurado en "UNKNOWN_IP_PROTOCOL" |
| tipo de archivo | target.file.mime_type. |
| sgid | target.group.product_object_id [id_objeto_producto] |
| festivo | target.user.userid |
| enebro | target.group.product_object_id [id_objeto_producto] |
| Nombre de host | target.hostname |
| tipo icmp | network.ip_protocol está configurado en "ICMP" |
| id | Si [audit_log_type] == "ADD_USER", target.user.idid está configurado en "%{id}"
Si [audit_log_type] == “ADD_GROUP”, el valor del grupo de productos target.group_product_id se estableció en “%{id}” else target.user.attribute.labels.key/value está configurado en id |
| inodo | target.resource.product_object_id. |
| clave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path, |
| disco nuevo | target.resource.name |
| nuevo-menem | target.resource.attribute.labels.key/valor |
| CPU virtual nueva | target.resource.attribute.labels.key/valor |
| nueva-net | pincipal.mac |
| nuevo_gid | target.group.product_object_id [id_objeto_producto] |
| vainilla | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid; |
| oses | ID de red |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id [id_objeto_producto] |
| función_obj | target.user.attribute.role.name |
| obj_id | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id [id_objeto_producto] |
| ouid | target.user.userid |
| ruta | target.file.full_path, |
| permanente | target.asset.attribute.permissions.name |
| PID | target.process.pid; |
| PPID | target.parent_process.pid; |
| protocolo | Si [ip_protocol] == 2, network.ip_protocol se establece en "IP6IN4"
else network.ip_protocol está configurado en "UNKNOWN_IP_PROTOCOL" |
| res. | security_result.summary (sitio web) |
| Resultado | security_result.summary (sitio web) |
| triste | security_result.detection_fields.key/value |
| sáudo | target.user.attribute.labels.key/value |
| se | ID de red |
| sgid | target.group.product_object_id [id_objeto_producto] |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| correcto | Si se ejecuta correctamente:='sí', security_result.summary se establece en 'llamada de sistema exitosa'; |
| suicida | target.user.userid |
| llamada de sistema | about.labels.key/value |
| terminal | target.labels.key/valor |
| Utah | target.labels.key/valor |
| uid | Si [audit_log_type] en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_POLICYD, USER_MACD, USER_MACID, USER_MACID, USER_MACID.
De lo contrario, uid se configura como target.user.userid. |
| vm | target.resource.name |
Tipos de registros de auditoría para tipos de eventos de UDM
En la siguiente tabla, se enumeran los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
|---|---|---|
| AGREGUE GRUPO | CREACIÓN DEL GRUPO | Se activa cuando se agrega un grupo de espacio de usuario. |
| AGREGAR USUARIO | CREACIÓN DEL USUARIO | Se activa cuando se agrega una cuenta de usuario de espacio de usuario. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anormal (con una señal que podría causar un volcado central, si está habilitado). |
| AVC | GENERIC_EVENT | Se activa para registrar una verificación de permisos de SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
| CRED_ACQ | USUARIO_ACCEDER | Se activa cuando un usuario adquiere credenciales de espacio de usuario. |
| CRED_DISP | USER_LOGOUT | Se activa cuando un usuario elimina las credenciales de espacio del usuario. |
| REFERENCIA_CREDENCIAL | USUARIO_ACCEDER | Se activa cuando un usuario actualiza sus credenciales de espacio de usuario. |
| USUARIO_CLAVE_CRYPTO | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica con fines criptográficos. |
| CRYPTO_SESIÓN | PROCESO_FINALIZACIÓN | Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión de TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
| DAEMON_ABORT | PROCESO_FINALIZACIÓN | Se activa cuando se detiene un daemon debido a un error. |
| DAEMON_END | PROCESO_FINALIZACIÓN | Se activa cuando se detiene correctamente un daemon. |
| DAEMON_RESUME | PROCESO_NO CATEGORIZADO | Se activa cuando el daemon auditado reanuda el registro. |
| DAEMON_ROTATE | PROCESO_NO CATEGORIZADO | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
| DAEMON_START | LANZAMIENTO_PROCESO | Se activa cuando se inicia el daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Se activa cuando se borra un grupo de espacio de usuario. |
| Pendiente | USER_DELETION | Se activa cuando se borra un usuario del espacio del usuario |
| ExECVE | LANZAMIENTO_PROCESO | Se activa para registrar argumentos de la llamada del sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec, cuando se detecta uno o cuando cambia la configuración de IPSec. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política SELinux. |
| MAC_ESTADO | GENERIC_EVENT | Se activa cuando se cambia el modo SELinux (aplicable, permisivo, desactivado). |
| MAC_UNLBL_STCADD. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se agrega una etiqueta estática cuando se usan las capacidades de etiquetado de paquetes del kernel que proporciona NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan modificaciones de la cadena de Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía una señal. |
| RUTA | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta del nombre del archivo. |
| SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
| SERVICIO_START | SERVICIO_START | Se activa cuando se inicia un servicio. |
| SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
| LLAMADA | GENERIC_EVENT | Se activa para registrar una llamada del sistema al kernel. |
| BOTÓN_SISTEMA | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
| SYSTEM_RUNLEVEL | ACTUALIZACIÓN DE ESTADO | Se activa cuando se cambia el nivel de ejecución del sistema. |
| APAGADO DEL SISTEMA | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
| USUARIO_AC | CONFIGURACIÓN_MODIFICACIÓN | Se activa cuando se modifica una cuenta de usuario de espacio de usuario. |
| USER_AUTH | USUARIO_ACCEDER | Se activa cuando se detecta un intento de autenticación en el espacio del usuario. |
| Usuario AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje AVC del espacio del usuario. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de cuenta de usuario. |
| USER_CMD | COMUNICACIÓN_DE_USUARIO | Se activa cuando se ejecuta un comando shell de espacio de usuario. |
| USER_END | USER_LOGOUT | Se activa cuando se finaliza una sesión de espacio de usuario. |
| USUARIO_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error de estado de la cuenta de usuario. |
| USUARIO_ACCEDER | USUARIO_ACCEDER | Se activa cuando un usuario accede. |
| USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario sale. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon del espacio del usuario carga una política de SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar los datos de administración del espacio del usuario. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia la función SELinux del usuario. |
| USUARIO_START | USUARIO_ACCEDER | Se activa cuando se inicia una sesión de espacio de usuario. |
| USYS_CONFIG. | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio en la configuración del sistema del espacio del usuario. |
| VIRT_CONTROL | ACTUALIZACIÓN DE ESTADO | Se activa cuando se inicia, pausa o detiene una máquina virtual. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta con una máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Correo electrónico
Campos de registro de correo electrónico a campos UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| Clase | about.labels.key/value |
| Municipalidad de Ctladdr | principal.user.user_display_name |
| Desde | network.email |
| MSGID | network.email.mail_id |
| Proto | network.application_protocol |
| Relevo | intermediario.hostname
intermediario.ip |
| Tamaño | network.received_bytes |
| Estadística | security_result.summary (sitio web) |
| a | network.email.to |
Tipos de registros de correo electrónico al tipo de evento de UDM
En la siguiente tabla, se enumeran los tipos de registros de correo electrónico y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de correo electrónico | Tipo de evento de UDM |
|---|---|
| enviar correo | ACTUALIZACIÓN DE ESTADO |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | ACTUALIZACIÓN DE ESTADO |
| qmgr | EMAIL_UNCATEGORIZED |
| SMTP | ACTUALIZACIÓN DE ESTADO |
| local | EMAIL_UNCATEGORIZED |