Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Recopila registros de Fluentd

En este documento, se describe cómo puedes recopilar registros de Fluentd mediante la configuración de Fluentd y un servidor de reenvío de Chronicle. En este documento, también se enumeran los tipos de registros y la versión de Fluentd compatibles.

Para obtener más información, consulta Transferencia de datos a Chronicle.

Descripción general

En el siguiente diagrama de arquitectura de implementación, se muestra cómo Fluentd está instalado en el servidor de reenvío y el servidor agregador para enviar registros a Chronicle. Cada implementación de cliente puede diferir de esta representación y puede ser más compleja.

Arquitectura de implementación

En el diagrama de arquitectura, se muestran los siguientes componentes:

  • Sistema Linux. El sistema Linux que se supervisará. El sistema Linux consta de los archivos que se supervisan y el servidor de reenvío de Fluentd.

  • Sistema Microsoft Windows. El sistema de Microsoft Windows que se supervisa en el que se instala el servidor de reenvío de Fluentd.

  • Reenvío de Fluentd. El servidor de reenvío de Fluentd recopila información del sistema de Microsoft Windows o Linux y la reenvía al agregador de Fluentd.

  • Agregador de Fluentd. El agregador de Fluentd recibe registros del servidor de reenvío de Fluentd y los reenvía al servidor de reenvío de Chronicle.

  • Reenviador de crónicas. El servidor de reenvío de Chronicle es un componente de software ligero que se implementa en la red del cliente y es compatible con syslog. El servidor de reenvío de Chronicle reenvía los registros a Chronicle.

  • Chronicle Chronicle retiene y analiza los registros del agregador de Fluentd.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia FLUENTD.

Antes de comenzar

  • Asegúrate de que el servidor de reenvío de Fluentd esté instalado en los sistemas de Microsoft Windows o Linux que planeas supervisar. Para obtener más información sobre la instalación del servidor de reenvío de Fluentd, consulta Instalación de Fluentd.

  • Usa una versión de Fluentd compatible con el analizador de Chronicle. El analizador de Chronicle admite la versión 1.0 de Fluentd.

  • Asegúrate de que el agregador de Fluentd esté instalado y configurado en el servidor central de Linux.

  • Asegúrate de que todos los sistemas en la arquitectura de implementación estén configurados en la zona horaria UTC.

  • Verifica los tipos de registro que admite el analizador de Chronicle. En la siguiente tabla, se enumeran los productos y las rutas de acceso a los archivos de registro que admite el analizador Chronicle:

    Sistema operativo Producto Ruta del archivo de registro
    Microsoft Windows Microsoft Windows Registros de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVPN /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux cazador de arcos /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux mazo /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Configura el agente de reenvío y el agregador de Fluentd, y el servidor de reenvío de Chronicle

  1. A fin de supervisar los registros que generan los sistemas Linux, crea un archivo td-agent.conf a fin de especificar la configuración de supervisión de registros para el reenvío de Fluentd. A continuación, se muestra un archivo de configuración de ejemplo para el reenvío de Fluentd en el sistema Linux:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. Para supervisar los registros que generan los sistemas de Microsoft Windows, crea un archivo td-agent.conf a fin de especificar la configuración de supervisión de registros para el reenvío de Fluentd. A continuación, se muestra un archivo de configuración de ejemplo para el reenvío de Fluentd en el sistema de Microsoft Windows:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. Para reenviar los registros del agregador de Fluentd al servidor de reenvío de Chronicle, crea un archivo de configuración en el siguiente formato:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the Chronicle forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. Configura el servidor de reenvío de Chronicle para enviar registros a Chronicle. Para obtener más información, consulta Instala y configura el servidor de reenvío en Linux. El siguiente es un ejemplo de una configuración de reenvío de Chronicle:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

Referencia de la asignación de campos

En esta sección, se explica cómo el analizador aplica patrones de grok para sistemas Linux y Microsoft Windows, y cómo asigna campos de registro de Fluentd a los campos de modelo de datos unificados (UDM) de Chronicle para cada tipo de registro.

Para obtener información sobre la asignación de referencia de campos comunes, consulta Campos comunes.

Para obtener información de referencia sobre las rutas de acceso de registro, los patrones de grok para registros de ejemplo, los tipos de eventos y los campos de UDM en los sistemas Linux, consulta las siguientes secciones:

Para obtener información sobre los eventos de Microsoft Windows compatibles y los campos de UDM correspondientes, consulta los datos de eventos de Microsoft Windows.

Campos comunes

En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.

Campo de registro común Campo UDM
tiempo_recopilado metadata.collected_timestamp
mensaje_interno.mensaje mensaje_interno
inner_message.forwarder_hostname. target.hostname o principal.hostname
ruta_mensaje_interno fuente_evento

Sistema Linux

En la siguiente tabla, se enumeran las rutas de registro para el sistema Linux, el patrón grok de los registros de ejemplo, el tipo de evento y las asignaciones de UDM:

Ruta de acceso del registro Ejemplo de registro Patrón de grok Tipo de evento Asignación de UDM
/var/log/apache2/error.log [Jue 28 de abril de 2016 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] no pudo establecer conexión [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

La marca de tiempo se asignó a metadata.event_timestamp

log_module se asignó a target.resource.name

log_level se mapea a security_result.severity

pid está asignado a target.process.parent_process.pid

tid se asigna a target.process.pid

El valor de client_ip está asignado a principal.ip

client_port se asigna a principal.port

error_message se mapea a security_result.description

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/error.log [Jue 28 de abr a 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer conexión [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

La marca de tiempo se asignó a metadata.event_timestamp

log_module se asignó a target.resource.name

log_level se mapea a security_result.severity

pid está asignado a target.process.parent_process.pid

tid se asigna a target.process.pid

error_message se mapea a security_result.description

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/error.log [Jue 28 de abril de 2021 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

La marca de tiempo se asignó a metadata.event_timestamp

log_module se asignó a target.resource.name

log_level se mapea a security_result.severity

pid está asignado a target.process.parent_process.pid

tid se asigna a target.process.pid

El valor de client_ip está asignado a principal.ip

client_port se asigna a principal.port

error_message se mapea a security_result.description

target.platform está establecido en &LITUX; LINUX

URL de referencia se asigna a network.http.referral_url

/var/log/apache2/error.log [Sun 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: referencia: . [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: ?{error_message}:( {target_ip})(<optional_field>referer,url HTTP_RED

La marca de tiempo se asignó a metadata.event_timestamp

log_module se asignó a target.resource.name

log_level se mapea a security_result.severity

pid está asignado a target.process.parent_process.pid

tid se asigna a target.process.pid

El valor de client_ip está asignado a principal.ip

client_port se asigna a principal.port

error_message se mapea a security_result.description

target_ip se asigna a target.ip

URL de referencia se asigna a network.http.referral_url

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/error.log [Sáb 02 feb 00:30:55 2019] Nueva conexión: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[conexión:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

La marca de tiempo se asignó a metadata.event_timestamp

El valor de client_ip está asignado a principal.ip

client_port se asigna a principal.port

El valor de connection_id se asigna a network.session_id

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/error.log [Sab [{timestamp}]<message_text>request:[conexión:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

La marca de tiempo se asignó a metadata.event_timestamp

El ID de solicitud se asignó a security_result.detection_fields.(clave/valor)

El valor de client_ip está asignado a principal.ip

client_port se asigna a principal.port

pid está asignado a target.process.parent_process.pid

El valor de connection_id se asigna a network.session_id

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/error.log [Sab [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

La marca de tiempo se asignó a metadata.event_timestamp

log_level se mapea a security_result.severity

El ID de solicitud se asignó a security_result.detection_fields.(clave/valor)

El valor de client_ip está asignado a principal.ip

client_port se asigna a principal.port

pid está asignado a target.process.parent_process.pid

El valor de connection_id se asigna a network.session_id

error_message se mapea a security_result.description

file_path se mapea a target.file.full_path

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/access.log 192.0.2.1 - 28/abr/2022:17:35:52 +0530 ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) HTTP_RED

El valor de client_ip está asignado a principal.ip

userid está asignado a principal.user.userid

el host está asignado a principal.hostname

La marca de tiempo se asignó a metadata.event_timestamp

se asigna a network.http.method

El recurso se asigna a principal.resource.name

client_protocol se asigna a network.application_protocol

El valor result_status se asigna a network.http.response_code

El tamaño del objeto se asigna a network.sent_bytes.

URL de referencia se asigna a network.http.referral_url

El usuario-agente está asignado a network.http.user_agent

network.ip_protocol está establecido en &TCP;

network.direction está configurado como "OUTBOUND"

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log Wintest.abc.com:80::1 - - {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) HTTP_RED target_host está asignado a target.hostname

target_port se asignó a target.port

El valor de client_ip está asignado a principal.ip

userid está asignado a principal.user.userid

el host está asignado a principal.hostname

La marca de tiempo se asignó a metadata.event_timestamp

se asigna a network.http.method

El recurso se asigna a principal.resource.name

El valor result_status se asigna a network.http.response_code

El tamaño del objeto se asigna a network.sent_bytes.

URL de referencia se asigna a network.http.referral_url

El usuario-agente está asignado a network.http.user_agent

network.ip_protocol está establecido en &TCP;

network.direction está configurado como "OUTBOUND"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

network.application_protocol está configurado en "HTTP"

var/log/apache2/novnc-server-access.log Wintest.abc.com:80: {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) HTTP_RED

El valor de client_ip está asignado a principal.ip

userid está asignado a principal.user.userid

se asigna a network.http.method

La ruta de acceso se asignó a target.url

El valor result_status se asigna a network.http.response_code

El tamaño del objeto se asigna a network.sent_bytes.

URL de referencia se asigna a network.http.referral_url

El usuario-agente está asignado a network.http.user_agent

network.ip_protocol está establecido en &TCP;

network.direction está configurado como "OUTBOUND"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

network.application_protocol está configurado en "HTTP"

/var/log/apache2/access.log http://192.0.2.1/test/first.html -> /google.com (<optional_field>{referer_url}?)>(<optional_field>{path}?) GENERIC_EVENT

La ruta de acceso se asignó a target.url

URL de referencia se asigna a network.http.referral_url

network.direction está configurado como "OUTBOUND"

target.platform está establecido en &LITUX; LINUX

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

El usuario-agente está asignado a network.http.user_agent

network.direction está configurado como "OUTBOUND"

target.platform está establecido en &LITUX; LINUX

network.application_protocol está configurado en "HTTP"

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está configurado en "Apache"

metadata.product_name está configurado en "Apache HTTP Server"

var/log/nginx/access.log 192.0.2.1 - admin [05/mayo/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" .HTML5.HTML0.4. {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? HTTP_RED

la hora se asigna a metadata.timestamp

La dirección IP se asignó a target.ip

principal_ip se asigna a principal.ip

principal_user_userid se asigna a principal.user.userid

metadata_timestamp se asigna a marca de tiempo

http_method se asigna a network.http.method

resource_name se asigna a principal.resource.name

El protocolo está asignado a network.application_protocol = (HTTP)

response_code se asignó a network.http.response_code

Recibido_bytes está asignado a network.sent_bytes

URL de referencia se asigna a network.http.referral_url

El usuario-agente está asignado a network.http.user_agent

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está establecido en &NGINX;

metadata.product_name está establecido en &NGINX;

network.ip_protocol está establecido en &TCP;

network.direction está configurado como "OUTBOUND"

var/log/nginx/error.log. 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: no hay ese archivo o directorio), cliente: 192.0.2.1, servidor: localhost, \8;0.\2. &{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 está asignado a &&tt;{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

&bint() a ({target_ip}|[{target_ip}]):{target_port} falló ({security_description})"

&\tt;\*{cid}{security_description}"

{security_description}"

HTTP_RED

Se asignó el campo thread_id al elemento principal.process.pid

La gravedad se asigna a security_result.severity.

(la depuración se mapea a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, el aviso se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, el crit se asigna a CRITICAL, la alerta se asigna a HIGH)

target_file_full_path se asignó a target.file.full_path

principal_ip se asigna a principal.ip

target_hostname está asignado a target.hostname

http_method se asigna a network.http.method

resource_name se asigna a principal.resource.name

el protocolo se asigna a "TCP"

target_ip se asigna a target.ip

target_port se asignó a target.port

security_description + security_result_description_2 se asigna a security_result.description

Se asignó el pid al principal.process.parent_process.pid

network.application_protocol está configurado en "HTTP"

la marca de tiempo se asignó a {time}/{day}/{month} de {time}

target.platform está establecido en &LITUX; LINUX

metadata.vendor_name está establecido en &NGINX;

metadata.product_name está establecido en &NGINX;

network.ip_protocol está establecido en &TCP;

network.direction está configurado como "OUTBOUND"

var/log/rkhunter.log [14:10:40] Falló la verificación de comandos necesarios [<message_text>]{security_description}. ACTUALIZACIÓN DE ESTADO

la hora se asigna a metadata.timestamp

security_description se asigna a security_result.description

principal.platform está establecido en &LITUX; LINUX

metadatos.vendor_name está establecido en &Root Hunter Hunter.

metadata.product_name está configurado como &RootKit Hunter

var/log/rkhunter.log [14:09:52] Buscando el archivo '/dev/.oz/.nap/rkit/terror' [ No encontrado ] [<message_text>] {security_description} {archivo_ruta}[\{metadata_description}] FILE_UNCATEGORIZED Se asignó metadatos_description a metadata.description

file_path se mapea a target.file.full_path

security_description se asigna a security_result.description

principal.platform está establecido en &LITUX; LINUX

metadatos.vendor_name está establecido en &Root Hunter Hunter.

metadata.product_name está configurado como &RootKit Hunter

var/log/rkhunter.log fluentd: Tamaño reducido de archivo (el resto de los nodos se conserva): '/var/log/rkhunter.log'. (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

la hora se asigna a metadata.timestamp

Se asignó metadatos_description a metadata.description

file_path se mapea a target.file.full_path

principal.platform está establecido en &LITUX; LINUX

metadatos.vendor_name está establecido en &Root Hunter Hunter.

metadata.product_name está configurado como &RootKit Hunter

/var/log/kern.log 28 de abril 12:41:35 Kernel de localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description}. ACTUALIZACIÓN DE ESTADO

la marca de tiempo está asignada a "metadata.event_timestamp"

principal_hostname se asigna a "principal.hostname"

metadata_product_event_type se mapea a "metadata.product_event_type"

metadata_description se mapea a "metadata.description"

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

principal.platform está establecido en &LITUX; LINUX

/var/log/kern.log 6 de jul, 11:17:01 Kernel de Ubuntu18: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Oro 5220R CPU a 2.20 GHz (familia: 0x6, modelo: 0x55, pasos: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}). ACTUALIZACIÓN DE ESTADO

la marca de tiempo está asignada a "metadata.event_timestamp"

principal_hostname se asigna a "principal.hostname"

metadata_product_event_type se mapea a "metadata.product_event_type"

principal_asset_hardware_cpu_model se asigna a "principal.asset.hardware.cpu_model"

metadata_description se mapea a "metadata.description"

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

principal.platform está establecido en &LITUX; LINUX

cpu_model se asigna a principal.asset.hardware.cpu_model

/var/log/syslog.log 24 de mayo 10:30:42 Ubuntu18 systemd[1]: Se inició la sesión 112 del usuario kajal. {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} ACTUALIZACIÓN DE ESTADO

collect_time se asigna a metadata.event_timestamp

el nombre de host está asignado a principal.hostname

Se asignó el pid al principal.process.pid

el mensaje se asigna a metadata.description

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

principal.platform está establecido en &LITUX; LINUX

La línea de comandos se asigna a principal.process.command_line

/var/log/syslog.log 06-jul 10:14:37 Ubuntu18 rsyslogd: el ID de usuario de rsyslogd cambió a 102 {collected_timestamp}{hostname}{command_line}:{message}para{user_id} ACTUALIZACIÓN DE ESTADO

collect_time se asigna a metadata.collected_timestamp

el nombre de host está asignado a principal.hostname

el mensaje se asigna a metadata.description

user_id se asigna a principal.user.userid

La línea de comandos se asigna a principal.process.command_line

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

principal.platform está establecido en &LITUX; LINUX

/var/log/syslog.log 06-jul 10:36:48 Ubuntu18 systemd[1]: Iniciando el servicio de registro del sistema... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} ACTUALIZACIÓN DE ESTADO

collect_time se asigna a metadata.event_timestamp

el nombre de host está asignado a principal.hostname

Se asignó el pid al principal.process.pid

el mensaje se asigna a metadata.description

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

principal.platform está establecido en &LITUX; LINUX

La línea de comandos se asigna a principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] SALIENTE: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Aprender 1.3.12.3.12. {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text><message_text>{user}\/{ip}:{port}MULTI:Más información:{local_ip}-{3} HTTP_RED

La marca de tiempo se asignó a metadata.timestamp

log_level se mapea a security_result.severity

local_ip se asigna a principal.ip

target_ip se asigna a target.ip

target_hostname está asignado a principal.hostname

El puerto está asignado a target.port.

El usuario está asignado a principal.user.user_display_name

metadatos.vendor_name está configurado como &OpenVPN.

metadata.product_name está configurado como "OpenVPN Access Server"

principal.platform está establecido en &LITUX; LINUX

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 versiones de la biblioteca: OpenSSL 1.1.1 11 de septiembre de 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") ACTUALIZACIÓN DE ESTADO

La marca de tiempo se asignó a metadata.timestamp

log_level se mapea a security_result.severity

msg se asigna a security_result.description

metadatos.vendor_name está configurado como &OpenVPN.

metadata.product_name está configurado como "OpenVPN Access Server"

principal.platform está establecido en &LITUX; LINUX

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] SALIDA: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev9

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text><message_text><message_text><message_text&gt{

se asignó el mensaje a (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

ACTUALIZACIÓN DE ESTADO

principal.platform está establecido en &LITUX; LINUX

target_ip se asigna a target.ip

target_port se asignó a target.port

La gravedad se asigna a security_result.severity.

La marca de tiempo se asignó a metadata.timestamp

metadatos.vendor_name está configurado como OpenVPN

metadatos.product_name está configurado en el servidor de acceso OpenVPN

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] SALIENTE: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection.[2]

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

el mensaje se asigna a <message_text>with[<message_text>]<message_text>:{port}<message_text>

ACTUALIZACIÓN DE ESTADO

La marca de tiempo se asignó a metadata.timestamp

log_level se mapea a security_result.severity

metadatos.vendor_name está configurado como OpenVPN

metadatos.product_name está configurado en el servidor de acceso OpenVPN

principal.platform está configurada en Linux

target_ip se asigna a target.ip

target_port se asignó a target.port

target_hostname está asignado a target.hostname

El intermediario_ip se asigna a intermediario.ip

var/log/openvpnas.log La siguiente ventana es la siguiente: La siguiente es la siguiente: - {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") ACTUALIZACIÓN DE ESTADO

La marca de tiempo se asignó a metadata.timestamp

log_level se mapea a security_result.severity

el mensaje se asigna a metadata.description

usuario asignado a target.hostname

La dirección IP se asignó a target.ip

El puerto se asignó a taregt.port.

metadatos.vendor_name está configurado como OpenVPN

metadatos.product_name está configurado en el servidor de acceso OpenVPN

principal.platform está configurada en Linux

var/log/openvpnas.log . {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({reason}) ACTUALIZACIÓN DE ESTADO

La marca de tiempo se asignó a metadata.timestamp

log_level se mapea a security_result.severity

se asignó el mensaje a security_result.description

El resumen está asignado a security_result.summary

user_name se asignó a principal.user.user_display_name

El CLI se asigna a principal.process.command_line

el estado se asigna a principal.user.user_Authentication_status

metadatos.vendor_name está configurado como &OpenVPN.

metadata.product_name está configurado como "OpenVPN Access Server"

principal.platform está establecido en &LITUX; LINUX

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - Acceso a la clave de configuración '[filterNames]' a través de la notación de puntos es obsoleta y se eliminará en una versión futura. En su lugar, usa 'config.getProperty(key, targetClass) [{timestamp}]{severity}{summary}\:{security_description}

, en {command_line}\({file_path}:<message_text>\)

ACTUALIZACIÓN DE ESTADO La línea de comandos está mapeada a "target.process.command_line"

file_path se mapea a "target.process.file.full_path"

la marca de tiempo está asignada a "metadata.event_timestamp"

la gravedad se asigna a "security_result.severity"

El resumen está asignado a "security_result.summary"

security_description se asigna a "security_result.description"

metadata.product_name está configurado como &FLUENTD"

metadatos.vendor_name está configurado como &FLUENTD"

/var/log/auth.log 4 de julio a las 19:26:19 Ubuntu18 systemd-logind[982]: Se quitó la sesión 153. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? SALIR_USUARIO

la marca de tiempo está asignada a "metadata.timestamp"

principal_hostname se asigna a target.hostname si el valor es &USER; USER_LOGOUT; de lo contrario, se asigna a principal.hostname

principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application"

pid se asigna a target.process.pid si el valor es & USER_LOGOUT; de lo contrario, se asigna a principal.process.pid.

security_description se asigna a "security_result.description"

network_session_id se asigna a &network;session_id"

principal_user_userid se asigna a principal.user.userid si el valor es &;USER_LOGOUT; de lo contrario, se asigna a target.user.userid.

"principal.platform" está configurado como &LITUX;

Si se quita la sesión security_description del evento, se establece event_type como USER_LOGOUT.

extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/auth.log 27 de junio a las 11:07:17 Ubuntu18 systemd-logind[804]: Nueva sesión 564 de raíz del usuario. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USUARIO_ACCEDER

la marca de tiempo está asignada a "metadata.timestamp"

principal_hostname se asigna a target.hostname si el valor es &USER; USER_LOGOUT; de lo contrario, se asigna a principal.hostname

principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application"

pid se asigna a target.process.pid si el valor es & USER_LOGOUT; de lo contrario, se asigna a principal.process.pid.

security_description se asigna a "security_result.description"

network_session_id se asigna a &network;session_id"

principal_user_userid se asigna a principal.user.userid si el valor es &;USER_LOGOUT; de lo contrario, se asigna a target.user.userid.

"principal.platform" está configurado como &LITUX;

&network-.application_protocol" está asignado a &SSH

Si el evento event_new_session se estableció en USER_LOGIN

extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/auth.log 27 de junio de 11:07:17: Ubuntu18 sshd[9349]: Contraseña aceptada para la raíz de 198.51.100.1 port 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido)?{principal_user_userid} desde el puerto {principal_ip} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:_{fields_result_detection} USUARIO_ACCEDER

la marca de tiempo está asignada a "metadata.timestamp"

principal_hostname se asigna a target.hostname si el valor es &USER; USER_LOGOUT; de lo contrario, se asigna a principal.hostname

principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application"

pid se asigna a target.process.pid si el valor es & USER_LOGOUT; de lo contrario, se asigna a principal.process.pid.

security_description se asigna a "security_result.description"

principal_user_userid se asigna a principal.user.userid si el valor es &;USER_LOGOUT; de lo contrario, se asigna a target.user.userid.

principal_ip se mapea a "principal.ip"

principal_port se mapea a "principal.port"

security_result_detection_fields_ssh_kv se asigna a "security_result.detection_fields.key/value"

security_result_detection_fields_kv se asigna a "security_result.detection_fields.key/value"

"principal.platform" está configurado como &LITUX;

&network.application_protocol"establecido en &SSH

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/auth.log 28 de abril de 11:51:13 Ubuntu18 sudo[24149]: raíz : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; ={={principal_uid_command_line} ACTUALIZACIÓN DE ESTADO

La marca de tiempo se asignó a metadata.timestamp

principal_hostname se asigna a principal.hostname

principal_application se asignó a principal.application

Se asignó el pid al principal.process.pid

principal_user_userid se asigna a target.user.userid

security_description se asigna a "security_result.description"

principal_process_command_line_1 se asigna a "principal.process.command_line"

principal_process_command_line_2 se asigna a "principal.process.command_line"

principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value"

"principal.platform" está configurado como &LITUX;

/var/log/auth.log 4 de julio 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sesión abierta para el usuario raíz por (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (user user|user)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ USUARIO_ACCEDER

La marca de tiempo se asignó a metadata.timestamp

principal_hostname se asigna a target.hostname si el valor es &USER; USER_LOGOUT; de lo contrario, se asigna a principal.hostname

principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application"

pid se asigna a target.process.pid si el valor es & USER_LOGOUT; de lo contrario, se asigna a principal.process.pid.

security_description se asigna a "security_result.description"

principal_user_userid se asigna a principal.user.userid si el valor es &;USER_LOGOUT; de lo contrario, se asigna a target.user.userid.

principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value"

"principal.platform" está configurado como &LITUX;

&network.application_protocol"establecido en &SSH

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/auth.log 4 de julio 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sesión cerrada por la raíz del usuario {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]: {security_description} para (usuario no válido|usuario){principal_user_userid} SALIR_USUARIO

La marca de tiempo se asignó a metadata.timestamp

principal_hostname se asigna a target.hostname si el valor es &USER; USER_LOGOUT; de lo contrario, se asigna a principal.hostname

principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application"

pid se asigna a target.process.pid si el valor es & USER_LOGOUT; de lo contrario, se asigna a principal.process.pid.

security_description se asigna a "security_result.description"

principal_user_userid se asigna a principal.user.userid si el valor es &;USER_LOGOUT; de lo contrario, se asigna a target.user.userid.

principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value

"principal.platform" está configurado como &LITUX;

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/auth.log 30 de junio 11:32:26, Ubuntu18 sshd[29425]: Conexión restablecida por medio de la autenticación de la raíz de usuario 198.51.100.1, puerto 52518 [preauth] {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}| SALIR_USUARIO

La marca de tiempo se asignó a metadata.timestamp

principal_hostname se asigna a target.hostname si el valor es &USER; USER_LOGOUT; de lo contrario, se asigna a principal.hostname

principal_application se asigna a target.application si el valor es "USER_LOGOUT"; de lo contrario, se asigna a "principal.application"

pid se asigna a target.process.pid si el valor es & USER_LOGOUT; de lo contrario, se asigna a principal.process.pid.

security_description se asigna a security_result.description

security_summary se asignó a security_result.summary

principal_user_userid se asigna a principal.user.userid si el valor es &;USER_LOGOUT; de lo contrario, se asigna a target.user.userid.

target_ip se asigna a target.ip

target_port se mapea a target.port

principal.platform" está configurada como &LITUX;

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clear cache and recreating with version number 2 {timestamp},{severity}(<optional_field>pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id})]<message_text>:{security_description} ACTUALIZACIÓN DE ESTADO

la marca de tiempo está asignada a "metadata.timestamp"

pid está asignado a "principal.process.pid"

principal_user_attribute_labels_kv se asigna a "principal.user.attribute.labels"

principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels"

principal_user_userid está asignado a "principal.user.userid"

principal_group_product_object_id se asigna a "principal.group.product_object_id"

security_description se asigna a "security_result.description"

metadata_description se mapea a "metadata.description"

metadata.product_name está establecido en "FLUENTD"

metadata.vendor_name está establecido en "FLUENTD"

var/log/samba/log.winbindd mensajería_dgm_init: error de vinculación: no hay espacio en el dispositivo {user_id}: {desc} ACTUALIZACIÓN DE ESTADO

metadata.product_name está establecido en "FLUENTD"

metadata.vendor_name está establecido en "FLUENTD"

user_id se asigna a principal.user.userid

desc se asigna a metadata.description

/var/log/mail.log 16 de julio 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>,size=377, class=0, nrcpts=1,metadata_descriptionid=<202203160610.TP2.4.22G {marca de tiempo} {target_hostname} {application}[{pid}]: <message_text>:{KV} ACTUALIZACIÓN DE ESTADO

target_hostname está asignado a target.hostname

La aplicación está asignada a target.application

pid se asignó a target.process.pid

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/mail.log 7 de julio 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {marca de tiempo} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname está asignado a target.hostname

La aplicación está asignada a target.application

pid se asignó a target.process.pid

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/mail.log 7 de julio 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> ACTUALIZACIÓN DE ESTADO

target_hostname está asignado a target.hostname

La aplicación está asignada a target.application

pid se asignó a target.process.pid

resource_name se asigna a target.resource.name

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/mail.log 7 de julio 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) {marca de tiempo} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname está asignado a target.hostname

La aplicación está asignada a target.application

pid se asignó a target.process.pid

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/mail.log 7 de julio 13:44:01 prod postfix/smtp[23436]: conectarse a gmail-smtp-in.l.abc.com[2607:xxxx:xxxx:xxx::xx]:25: no se puede acceder a la red {marca de tiempo} {target_hostname} {application}[{pid}]: <message_text>{KV} ACTUALIZACIÓN DE ESTADO

target_hostname está asignado a target.hostname

La aplicación está asignada a target.application

pid se asignó a target.process.pid

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

/var/log/mail.log 7 de julio 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, =recurrente, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (entregado al buzón) {marca de tiempo} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname está asignado a target.hostname

La aplicación está asignada a target.application

pid se asignó a target.process.pid

metadatos.vendor_name está configurado como &FLUENTD"

metadata.product_name está configurado como &FLUENTD"

Auditar

Campos de registro de auditoría para campos de UDM

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.

Campo de registro Campo UDM
cuenta target.user.user_display_name
complemento principal.ip
arco about.labels.key/valor
Auid target.user.userid
grupo de anuncios principal.process.file.full_path
cmd target.process.command_line
comunicación target.application
CDW target.file.full_path
datos about.labels.key/valor
devmajor about.labels.key/valor
devorador about.labels.key/valor
egidez target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/valor
familia network.ip_protocol está establecido en "IP6IN4" si "ip_protocol" == 2 más está establecido en "UNKNOWN_IP_PROTOCOL"
tipo de archivo target.file.mime_type
festivo target.group.product_object_id
felino target.user.userid
nítido target.group.product_object_id
Nombre de host target.hostname
tipo icmp network.ip_protocol está establecido en &ICT;ICMP"
id Si [audit_log_type] == "ADD_USER", el parámetro target.user.userid se establece en "%{id}"

Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id se establece en "%{id}"

else target.user.attribute.labels.key/value está configurado en id

inodo target.resource.product_object_id
clave security_result.detection_fields.key/value
list security_result.about.labels.key/value
mode target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

name target.file.full_path
disco nuevo target.resource.name
nueva-mem target.resource.attribute.labels.key/value
CPU virtual nueva target.resource.attribute.labels.key/value
nueva-neta pincipal.mac
nuevo_gid target.group.product_object_id
oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid.
osis network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
función_objetiva target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
ouid target.user.userid
ruta target.file.full_path
permanente target.asset.attribute.permissions.name
perrito target.process.pid.
PPID target.parent_process.pid.
protocolo Si [ip_protocol] == 2, network.ip_protocol se configura como &IPt;IP6IN4"

else network.ip_protocol está establecido en "UNKNOWN_IP_PROTOCOL"

res. seguridad_resultado.resumen
Resultado seguridad_resultado.resumen
tristeza security_result.detection_fields.key/value
sauida target.user.attribute.labels.key/value
se network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
correcto Si la operación se realiza de forma correcta==&yes#yes
suid target.user.userid
llamada de sistema about.labels.key/valor
terminal target.labels.key/valor
tty target.labels.key/valor
uid Si [audit_log_type] está en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD_, USERID, USER_MAC, USER_MAC, USER_MAC, USER_MAC, USER_MAC, USER_MAC, user

De lo contrario, uid se configura como target.user.userid.

vm target.resource.name

Tipos de registros de auditoría para el tipo de evento de UDM

En la siguiente tabla, se enumeran los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.

Tipo de registro de auditoría Tipo de evento de UDM Descripción
AGREGAR_GRUPO CREACIÓN DE GRUPOS Se activa cuando se agrega un grupo de espacio de usuario.
AGREGAR_USUARIO CREACIÓN DE USUARIOS Se activa cuando se agrega una cuenta de usuario del espacio de usuario.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Se activa cuando un proceso termina de forma anormal (con una señal que podría causar un volcado del núcleo, si está habilitado).
AVC GENERIC_EVENT Se activa para registrar una verificación de permisos de SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Se activa cuando se modifica la configuración del sistema de auditoría.
CRED_ACQ USUARIO_ACCEDER Se activa cuando un usuario adquiere credenciales de espacio de usuario.
CRED_DISP SALIR_USUARIO Se activa cuando un usuario elimina las credenciales de espacio del usuario.
CRED_REFR USUARIO_ACCEDER Se activa cuando un usuario actualiza sus credenciales de espacio del usuario.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos.
CRYPTO_SESSION FINALIZACIÓN DEL PROCESO Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión de TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa para registrar el directorio de trabajo actual.
DAEMON_ABORT FINALIZACIÓN DEL PROCESO Se activa cuando se detiene un daemon debido a un error.
DAEMON_END FINALIZACIÓN DEL PROCESO Se activa cuando un daemon se detiene correctamente.
DAEMON_RESUME PROCESS_UNCATEGORIZED Se activa cuando el daemon auditado reanuda el registro.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Se activa cuando el daemon auditado rota los archivos de registro de auditoría.
DAEMON_START LANZAMIENTO_PROCESAMIENTO Se activa cuando se inicia el daemon auditado.
DEL_GROUP GROUP_DELETION Se activa cuando se borra un grupo de espacio de usuario.
Pendiente USER_DELETION Se activa cuando se borra un usuario del espacio del usuario
EXECVE, LANZAMIENTO_PROCESAMIENTO Se activa para registrar argumentos de la llamada al sistema execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Se activa cuando se cambia un valor booleano SELinux.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa para registrar información sobre un evento de IPSec, cuando se detecta uno o cuando cambia la configuración de IPSec.
MAC_POLICY_LOAD GENERIC_EVENT Se activa cuando se carga un archivo de política SELinux.
MAC_ESTADO GENERIC_EVENT Se activa cuando se cambia el modo SELinux (aplicación forzosa, permisivo, desactivado).
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa cuando se agrega una etiqueta estática cuando se usan las capacidades de etiquetado de paquetes del kernel proporcionadas por NetLabel.
NETFILTER_CFG GENERIC_EVENT Se activa cuando se detectan las modificaciones de la cadena de Netfilter.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa para registrar información sobre un proceso al que se envía una señal.
RUTA FILE_OPEN/GENERIC_EVENT Se activa para registrar información de la ruta del nombre del archivo.
SELINUX_ERR GENERIC_EVENT Se activa cuando se detecta un error interno de SELinux.
SERVICIO_START SERVICIO_START Se activa cuando se inicia un servicio.
SERVICE_STOP SERVICE_STOP Se activa cuando se detiene un servicio.
SÍMBOLA GENERIC_EVENT Se activa para registrar una llamada del sistema al kernel.
BOTÓN_SISTEMA STATUS_STARTUP Se activa cuando se inicia el sistema.
SYSTEM_RUNLEVEL ACTUALIZACIÓN DE ESTADO Se activa cuando se cambia el nivel de ejecución del sistema.
APAGADO DEL SISTEMA STATUS_SHUTDOWN Se activa cuando se apaga el sistema.
USUARIO_ACT CONFIGURACIÓN_MODIFICACIÓN Se activa cuando se modifica una cuenta de usuario del espacio de usuario.
USER_AUTH USUARIO_ACCEDER Se activa cuando se detecta un intento de autenticación en el espacio del usuario.
USER_AVC; USER_UNCATEGORIZED Se activa cuando se genera un mensaje AVC del espacio del usuario.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Se activa cuando se modifica un atributo de cuenta de usuario.
USER_CMD COMUNICACIÓN_DE_USUARIO Se activa cuando se ejecuta un comando shell de espacio de usuario.
USER_END SALIR_USUARIO Se activa cuando finaliza una sesión en el espacio de usuario.
USUARIO_ERR USER_UNCATEGORIZED Se activa cuando se detecta un error de estado de cuenta de usuario.
USUARIO_ACCEDER USUARIO_ACCEDER Se activa cuando un usuario accede.
SALIR_USUARIO SALIR_USUARIO Se activa cuando un usuario sale.
USER_MAC_POLICY_LOAD LECTURA_RECURSO Se activa cuando un daemon del espacio del usuario carga una política de SELinux.
USER_MGMT USER_UNCATEGORIZED Se activa para registrar datos de administración del espacio del usuario.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Se activa cuando se cambia la función de SELinux de un usuario.
USUARIO_START USUARIO_ACCEDER Se activa cuando se inicia una sesión en el espacio de usuario.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Se activa cuando se detecta un cambio en la configuración del sistema del espacio del usuario.
VIRT_CONTROL ACTUALIZACIÓN DE ESTADO Se activa cuando se inicia, pausa o detiene una máquina virtual.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Se activa para registrar la vinculación de una etiqueta a una máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Se activa para registrar la asignación de recursos de una máquina virtual.

Correo electrónico

Campos de registro de correo electrónico en campos de UDM

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo y sus campos de UDM correspondientes.

Campo de registro Campo UDM
Clase about.labels.key/valor
Ctladdr principal.user.user_display_name
Desde network.email
MSGID network.email.mail_id
Proto network.application_protocol
Relé intermediario.hostname

intermediario

Tamaño network.received_bytes
Estadísticas seguridad_resultado.resumen
a network.email.to

Tipos de registros de correo electrónico para el tipo de evento de UDM

En la siguiente tabla, se enumeran los tipos de registros de correo y sus tipos de eventos de UDM correspondientes.

Tipo de registro de correo electrónico Tipo de evento de UDM
enviar correo ACTUALIZACIÓN DE ESTADO
pickup EMAIL_UNCATEGORIZED
cleanup ACTUALIZACIÓN DE ESTADO
qmgr EMAIL_UNCATEGORIZED
SMTP ACTUALIZACIÓN DE ESTADO
local EMAIL_UNCATEGORIZED

¿Qué sigue?