Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Collecter les journaux Fluentd

Ce document explique comment collecter des journaux Fluentd en configurant Fluentd et un redirecteur Chronicle. Ce document répertorie également les types de journaux compatibles et la version de Fluentd compatible.

Pour en savoir plus, consultez Ingestion de données vers Chronicle.

Présentation

Le schéma d'architecture de déploiement suivant montre comment Fluentd est installé sur le serveur de transfert et le serveur d'agrégateur pour envoyer des journaux à Chronicle. Chaque déploiement client peut être différent de cette représentation et peut être plus complexe.

Architecture de déploiement

Le schéma d'architecture présente les composants suivants:

  • Système Linux. Système Linux à surveiller. Le système Linux se compose des fichiers à surveiller et du serveur de transfert Fluentd.

  • Système Microsoft Windows Système Microsoft Windows à surveiller dans lequel le serveur de transfert Fluentd est installé.

  • Redirection Fluentd. Le redirecteur Fluentd collecte des informations à partir du système Microsoft Windows ou Linux et les transmet à l'agrégateur Fluentd.

  • Agrégateur Fluentd. L'agrégateur Fluentd reçoit les journaux du redirecteur Fluentd et les transmet au redirecteur Chronicle.

  • Programme de transfert Chronicle. Le redirecteur Chronicle est un composant logiciel léger, déployé dans le réseau du client et compatible avec syslog. Le redirecteur Chronicle transmet les journaux à Chronicle.

  • Chronicle : Chronicle conserve et analyse les journaux de l'agrégateur Fluentd.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations contenues dans ce document s'appliquent à l'analyseur portant le libellé d'ingestion FLUENTD.

Avant de commencer

  • Assurez-vous que le redirecteur Fluentd est installé sur les systèmes Microsoft Windows ou Linux que vous prévoyez de surveiller. Pour en savoir plus sur l'installation du redirecteur Fluentd, consultez Installer Fluentd.

  • Utilisez une version de Fluentd compatible avec l'analyseur Chronicle. L'analyseur Chronicle est compatible avec Fluentd version 1.0.

  • Assurez-vous que l'agrégateur Fluentd est installé et configuré sur le serveur Linux central.

  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

  • Vérifiez les types de journaux compatibles avec l'analyseur Chronicle. Le tableau suivant répertorie les chemins d'accès aux produits et aux fichiers journaux compatibles avec l'analyseur Chronicle:

    Système d'exploitation Produit Chemin d'accès au fichier journal
    Microsoft Windows Microsoft Windows Journaux des événements
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux Open VP /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux Rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux Rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Configurer le redirecteur et l'agrégateur Fluentd, et le redirecteur Chronicle

  1. Pour surveiller les journaux générés par les systèmes Linux, créez un fichier td-agent.conf afin de spécifier la configuration de surveillance des journaux pour le redirecteur Fluentd. Voici un exemple de fichier de configuration pour le redirecteur Fluentd sur le système Linux:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. Pour surveiller les journaux générés par les systèmes Microsoft Windows, créez un fichier td-agent.conf afin de spécifier la configuration de surveillance des journaux pour le redirecteur Fluentd. Voici un exemple de fichier de configuration pour le redirecteur Fluentd sur le système Microsoft Windows:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. Pour transférer les journaux de l'agrégateur Fluentd vers le redirecteur Chronicle, créez un fichier de configuration au format suivant:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the Chronicle forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Pour en savoir plus, consultez Installer et configurer le redirecteur sous Linux. Voici un exemple de configuration de redirecteur Chronicle:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

Documentation de référence sur le mappage de champs

Cette section explique comment l'analyseur applique des modèles grok pour les systèmes Linux et Microsoft Windows, et comment il mappe les champs de journal Fluentd sur les champs Chronicle Unified Data Model (UDM) pour chaque type de journal.

Pour en savoir plus sur le mappage des champs communs, consultez la section Champs communs.

Pour obtenir des informations de référence sur les chemins d'accès aux journaux, les modèles grok pour les exemples de journaux, les types d'événements et les champs UDM sur les systèmes Linux, consultez les sections suivantes:

Pour en savoir plus sur les événements Microsoft Windows compatibles et les champs UDM correspondants, consultez la section Données des événements Microsoft Windows.

Champs courants

Le tableau suivant répertorie les champs de journal courants et les champs UDM correspondants.

Champ de journal commun Champ UDM
heure_collectée metadata.collected_timestamp
message_interne.message message_interne
inner_message.forwarder_hostname target.hostname ou principal.hostname
message_interne.path événement_source

Système Linux

Le tableau suivant répertorie les chemins d'accès aux journaux pour le système Linux, le modèle grok pour les exemples de journaux, le type d'événement et les mappages UDM:

Chemin d'accès au journal Exemple de journal Grok Type d'événement Mappage UDM
/var/log/apache2/error.log [Jeu 28 avr. 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] sans connexion [{timestamp}][{log_module}:{log_level}] NETWORK_UNCATEGORIZED

timestamp est mappé à metadata.event_timestamp

log_module est mappé sur target.resource.name

log_level est mappé sur security_result.severity

pid est mappé sur target.process.parent_process.pid

tid est mappé à target.process.pid

client_ip est mappé avec principal.ip

client_port est mappé sur principal.port

error_message est mappé à security_result.description

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/error.log [Jeu 28 avr. 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] sans connexion [{timestamp}][{log_module}:{severity}][pid{pid}(<facultatif_champ>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

timestamp est mappé à metadata.event_timestamp

log_module est mappé sur target.resource.name

log_level est mappé sur security_result.severity

pid est mappé sur target.process.parent_process.pid

tid est mappé à target.process.pid

error_message est mappé à security_result.description

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/error.log [Thu avril 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Ligne de commande: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}] NETWORK_UNCATEGORIZED

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

timestamp est mappé à metadata.event_timestamp

log_module est mappé sur target.resource.name

log_level est mappé sur security_result.severity

pid est mappé sur target.process.parent_process.pid

tid est mappé à target.process.pid

client_ip est mappé avec principal.ip

client_port est mappé sur principal.port

error_message est mappé à security_result.description

target.platform est défini sur "LINUX"

référent_url est mappé à network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: http: Échec de la connexion. http://. [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<facultatif_champ>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<facultatif_référent}) RÉSEAU_HTTP

timestamp est mappé à metadata.event_timestamp

log_module est mappé sur target.resource.name

log_level est mappé sur security_result.severity

pid est mappé sur target.process.parent_process.pid

tid est mappé à target.process.pid

client_ip est mappé avec principal.ip

client_port est mappé sur principal.port

error_message est mappé à security_result.description

target_ip est mappé avec target.ip

référent_url est mappé à network.http.referral_url

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/error.log [Sam Feb 02 00:30:55 2019] Nouvelle connexion: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connexion:{connexion_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp est mappé à metadata.event_timestamp

client_ip est mappé avec principal.ip

client_port est mappé sur principal.port

connection_id est mis en correspondance avec network.session_id.

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/error.log [Sam Feb 02 00:30:55 2019] Nouvelle demande: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]. NETWORK_UNCATEGORIZED

timestamp est mappé à metadata.event_timestamp

request_id est mis en correspondance avec security_result.detection_fields.(key/value)

client_ip est mappé avec principal.ip

client_port est mappé sur principal.port

pid est mappé sur target.process.parent_process.pid

connection_id est mis en correspondance avec network.session_id.

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/error.log [Sam Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH0012: 0/h/us: [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<facultatif_champ>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

timestamp est mappé à metadata.event_timestamp

log_level est mappé sur security_result.severity

request_id est mis en correspondance avec security_result.detection_fields.(key/value)

client_ip est mappé avec principal.ip

client_port est mappé sur principal.port

pid est mappé sur target.process.parent_process.pid

connection_id est mis en correspondance avec network.session_id.

error_message est mappé à security_result.description

file_path est mappé vers target.file.full_path

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/access.log 192.. ({client_ip})|| {client_protocol}?){result_status}{object_size}(<facultatif_champ>(<facultatif_champ>{referer_url}?)(<facultatif_champ>{user_agent}?)? RÉSEAU_HTTP

client_ip est mappé avec principal.ip

id_utilisateur correspondant à principal.user.userid

l'hôte est mappé sur principal.hostname

timestamp est mappé à metadata.event_timestamp

est mappée sur network.http.method

ressource mappée sur principal.resource.name

client_protocol est mappé à network.application_protocol

result_status est mappé à network.http.response_code

object_size est mappé sur network.sent_bytes

référent_url est mappé à network.http.referral_url

user_agent est mappé à network.http.user_agent

network.ip_protocol est défini sur "TCP"

network.direction est défini sur "OUTBOUND" (SORTIE).

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log Wintest.abc.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\"Python-url/lib {target_host}:{NUMBER:target_port} {client_ip} - (<facultatif_champ>{host}?) [{timestamp}] RÉSEAU_HTTP target_host est mappé sur target.hostname

target_port est mappé sur target.port

client_ip est mappé avec principal.ip

id_utilisateur correspondant à principal.user.userid

l'hôte est mappé sur principal.hostname

timestamp est mappé à metadata.event_timestamp

est mappée sur network.http.method

ressource mappée sur principal.resource.name

result_status est mappé à network.http.response_code

object_size est mappé sur network.sent_bytes

référent_url est mappé à network.http.referral_url

user_agent est mappé à network.http.user_agent

network.ip_protocol est défini sur "TCP"

network.direction est défini sur "OUTBOUND" (SORTIE).

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

network.application_protocol est défini sur "HTTP"

var/log/apache2/novnc-server-access.log Wittest.abc.com:80 ::1 - - [14/Jan./2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\"-\ {target_host}:{NUMBER:target_port} {client_ip} - (<facultatif_champ>{host}?) [{timestamp}] RÉSEAU_HTTP

client_ip est mappé avec principal.ip

id_utilisateur correspondant à principal.user.userid

est mappée sur network.http.method

le chemin d'accès est mappé vers target.url

result_status est mappé à network.http.response_code

object_size est mappé sur network.sent_bytes

référent_url est mappé à network.http.referral_url

user_agent est mappé à network.http.user_agent

network.ip_protocol est défini sur "TCP"

network.direction est défini sur "OUTBOUND" (SORTIE).

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

network.application_protocol est défini sur "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<facultatif_champ>{referer_url}?)->(<champ_facultatif>{chemin}?) GENERIC_EVENT

le chemin d'accès est mappé vers target.url

référent_url est mappé à network.http.referral_url

network.direction est défini sur "OUTBOUND" (SORTIE).

target.platform est défini sur "LINUX"

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<facultatif_champ>{user_agent}) GENERIC_EVENT

user_agent est mappé à network.http.user_agent

network.direction est défini sur "OUTBOUND" (SORTIE).

target.platform est défini sur "LINUX"

network.application_protocol est défini sur "HTTP"

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "Apache"

metadata.product_name est défini sur "Apache HTTP Server"

var/log/nginx/access.log. 192.0.2.1 - admin [05/Mai/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.5; {principal_ip} - (<facultatif_champ>{principal_user_userid}?) [{timestamp}] {http_method} /(<facultatif_champ>{nom_ressource}?|) {protocole}(<message_texte>){response_code} {reçu_octets}(<facultatif_champ>{referer_url}) ({user_agent}|{user_agent})? RÉSEAU_HTTP

l'heure est mappée sur metadata.timestamp

ip est mappé à target.ip

principal_ip est mappé avec principal.ip

principal_user_userid est mappé avec principal.user.userid

metadata_timestamp est mappé à horodatage

http_method est mappé sur network.http.method.

resource_name est mappé avec principal.resource.name

protocole est mappé à network.application_protocol = (HTTP)

response_code est mappé sur network.http.response_code

received_bytes est mappé à network.sent_bytes

référent_url est mappé à network.http.referral_url

user_agent est mappé à network.http.user_agent

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "NGINX"

metadata.product_name est défini sur "NGINX"

network.ip_protocol est défini sur "TCP"

network.direction est défini sur "OUTBOUND" (SORTIE).

var/log/nginx/error.log. 29/01/2022 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost ; "{année}\/{mois}\/{jour}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 est mappé avec "{security_result_description_2},client:{principal_ip},server:(<facultatif_champ>{target_hostname}?),request:"{http_method} /(<facultatif_champ>{resource_name}?) {protocol}/1.1",host:&{target_ip}:{target_port})"

"bind() to ({target_ip}|[{target_ip}]):{target_port} ont échoué ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

RÉSEAU_HTTP

thread_id est mappé sur principal.process.pid

La gravité est mappée à security_result.severity

(Le débogage est mappé sur UNKNOWN_SEVERITY, les informations sont mappées sur INFORMATIONAL, la notification est mappée sur LOW, l'avertissement est mappé sur MEDIUM, l'erreur est mappée sur ERROR, le Critère est mappé sur CRITICAL, l'alerte est mappée sur HIGH.)

target_file_full_path est mappé sur target.file.full_path

principal_ip est mappé avec principal.ip

target_hostname est mappé sur target.hostname

http_method est mappé sur network.http.method.

resource_name est mappé avec principal.resource.name

est mappé avec le protocole "TCP"

target_ip est mappé avec target.ip

target_port est mappé sur target.port

security_description + security_result_description_2 est mappé sur security_result.description

pid est mappé sur principal.process.parent_process.pid

network.application_protocol est défini sur "HTTP"

l'horodatage est mappé avec {year}/{day}/{month} {time}

target.platform est défini sur "LINUX"

metadata.vendor_name est définie sur "NGINX"

metadata.product_name est défini sur "NGINX"

network.ip_protocol est défini sur "TCP"

network.direction est défini sur "OUTBOUND" (SORTIE).

var/log/rkhunter.log [14:10:40] Échec de la vérification des commandes requises [<message_text>]{security_description} ACTUALITÉ

l'heure est mappée sur metadata.timestamp

security_description est mappé avec security_result.description

principal.platform est défini sur "LINUX"

metadata.vendor_name est défini sur "RootKit Hunter"

metadata.product_name est défini sur "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Recherche de fichiers '/dev/.oz/.nap/rkit/terror' [ Not found ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description est mappée sur metadata.description

file_path est mappé vers target.file.full_path

security_description est mappé avec security_result.description

principal.platform est défini sur "LINUX"

metadata.vendor_name est défini sur "RootKit Hunter"

metadata.product_name est défini sur "RootKit Hunter"

var/log/rkhunter.log Fluentd: taille de fichier réduite (inode conservé): '/var/log/rkhunter.log'. (<facultatif_champ><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

l'heure est mappée sur metadata.timestamp

metadata_description est mappée sur metadata.description

file_path est mappé vers target.file.full_path

principal.platform est défini sur "LINUX"

metadata.vendor_name est défini sur "RootKit Hunter"

metadata.product_name est défini sur "RootKit Hunter"

/var/log/kern.log 28 avr. 12:41:35 localhost noyau: [ 5079.912215] ctnetlink v0.93: Enregistrement avec nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} ACTUALITÉ

timestamp est mappé vers "metadata.event_timestamp"

principal_hostname est mappé sur "principal.hostname"

metadata_product_event_type est mappé vers "metadata.product_event_type"

metadata_description est mappée sur "metadata.description"

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

principal.platform est défini sur "LINUX"

/var/log/kern.log 6 juil. 11:17:01 Ubuntu18 noyau: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (famille: 0x6, modèle: 0x55, stepsing: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({métadonnées_description}) ACTUALITÉ

timestamp est mappé vers "metadata.event_timestamp"

principal_hostname est mappé sur "principal.hostname"

metadata_product_event_type est mappé vers "metadata.product_event_type"

principal_asset_hardware_cpu_model est mappé sur "principal.asset.hardware.cpu_model"

metadata_description est mappée sur "metadata.description"

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

principal.platform est défini sur "LINUX"

cpu_model est mappé sur principal.asset.hardware.cpu_model

/var/log/syslog.log 24 mai 10:30:42 systemd Ubuntu18[1]: Début de la session 112 de l'utilisateur Kajal {collected_timestamp}{hostname}{command_line}(<facultatif_champ>[{pid}]):{message} ACTUALITÉ

collect_time est mis en correspondance avec metadata.event_timestamp

hostname est mappé sur principal.hostname

pid est mappé sur principal.process.pid

message est mappé vers metadata.description

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

principal.platform est défini sur "LINUX"

command_line est mappé sur principal.process.command_line

/var/log/syslog.log 06 juil. 10:14:37 Ubuntu18 rsyslogd: ID utilisateur rsyslogd remplacé par 102 {collected_timestamp}{hostname}{command_line}:{message}à{user_id} ACTUALITÉ

collect_time est mappé sur metadata.collected_timestamp

hostname est mappé sur principal.hostname

message est mappé vers metadata.description

user_id est mappé avec principal.user.userid

command_line est mappé sur principal.process.command_line

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

principal.platform est défini sur "LINUX"

/var/log/syslog.log 06 juil. 10:36:48 Ubuntu18 systemd[1]: Démarrage du service de journalisation système... {collected_timestamp}{hostname}{command_line}(<facultatif_champ>|[{pid}]):{message} ACTUALITÉ

collect_time est mis en correspondance avec metadata.event_timestamp

hostname est mappé sur principal.hostname

pid est mappé sur principal.process.pid

message est mappé vers metadata.description

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

principal.platform est défini sur "LINUX"

command_line est mappé sur principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.51.100.1:16245 MULTI:5.1.1.5 : 1,5 ; {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<facultatif_champ>'|")<message_text>-<message_text>{utilisateur}\/{ip}:{port}MULTI:Learn:{local_ip};&;;;;;;;;;}; RÉSEAU_HTTP

timestamp est mappé à metadata.timestamp

log_level est mappé sur security_result.severity

local_ip est mappé avec principal.ip

target_ip est mappé avec target.ip

target_hostname est mappé sur principal.hostname

port est mappé à target.port

utilisateur est mappé sur principal.user.user_display_name

metadata.vendor_name est définie sur "OpenVPN"

metadata.product_name est défini sur "OpenVPN Access Server"

principal.platform est défini sur "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 versions de la bibliothèque: OpenSSL 1.1.1 11 sept 2018, LZO 2.08&#3 {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<facultatif_champ>'|")<message_text>{msg}(<facultatif_champ>'|") ACTUALITÉ

timestamp est mappé à metadata.timestamp

log_level est mappé sur security_result.severity

msg associé à security_result.description

metadata.vendor_name est définie sur "OpenVPN"

metadata.product_name est défini sur "OpenVPN Access Server"

principal.platform est défini sur "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as9t

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<facultatif_champ>'|"<message_text>-<message_text>-<message_text><message_text>{message}<facultatif">

message est mappé à (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

ACTUALITÉ

principal.platform est défini sur "LINUX"

target_ip est mappé avec target.ip

target_port est mappé sur target.port

La gravité est mappée à security_result.severity

timestamp est mappé à metadata.timestamp

metadata.vendor_name est défini sur OpenVPN

metadata.product_name est défini sur OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OUT] : 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection_0.

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<facultatif_champ>'|")<message_text>{message}(<facultatif_champ>'|")

message est mappé à <message_text>avec[<message_text>]<message_text>:{port}<message_text>

ACTUALITÉ

timestamp est mappé à metadata.timestamp

log_level est mappé sur security_result.severity

metadata.vendor_name est défini sur OpenVPN

metadata.product_name est défini sur OpenVPN Access Server

principal.platform est défini sur Linux

target_ip est mappé avec target.ip

target_port est mappé sur target.port

target_hostname est mappé sur target.hostname

"mediamediaip" est mis en correspondance avec "intermediary.ip".

var/log/openvpnas.log Fait pour vous ! {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<facultatif_champ>'|")<message_text>{utilisateur}\/{ip}:{message}(<facultatif_champ>'|") ACTUALITÉ

timestamp est mappé à metadata.timestamp

log_level est mappé sur security_result.severity

message est mappé vers metadata.description

L'utilisateur est mappé sur target.hostname

ip est mappé à target.ip

port est mappé à taregt.port

metadata.vendor_name est défini sur OpenVPN

metadata.product_name est défini sur OpenVPN Access Server

principal.platform est défini sur Linux

var/log/openvpnas.log 15 {timestamp}[stdout#{log_level}]{summary} ACTUALITÉ

timestamp est mappé à metadata.timestamp

log_level est mappé sur security_result.severity

message est mappé à security_result.description

résumé est mappé à security_result.summary

user_name est mappé vers principal.user.user_display_name

cli est mappé sur principal.process.command_line

status est mappé avec principal.user.user_authentication_status

metadata.vendor_name est définie sur "OpenVPN"

metadata.product_name est défini sur "OpenVPN Access Server"

principal.platform est défini sur "LINUX"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' via la notation par points est obsolète et sera supprimé dans une prochaine version. Utilisez plutôt 'config.getProperty(key, targetClass)'. [{timestamp}]{severity}{summary}\-{security_description}

, à l'emplacement {command_line}\({file_path}:<message_text>\)

ACTUALITÉ command_line est mappée sur "target.process.command_line"

file_path est mappé sur "target.process.file.full_path"

timestamp est mappé vers "metadata.event_timestamp"

gravité est mappée sur &security;security_result.severity"

dont le résumé est mappé vers "security_result.summary"

security_description est mis en correspondance avec "security_result.description"

metadata.product_name est défini sur &lut;FLUENTD"

metadata.vendor_name est défini sur "FLUENTD"

/var/log/auth.log 4 juil. 19:26:19 Ubuntu18 systemd-logind[982]: Suppression de la session 153. {timestamp} {principal_hostname}{principal_application}(<facultatif_champ>[{pid}]):{security_description}{network_session_id}?(de l'utilisateur{principal_user_userid})? USER_LOGOUT

timestamp est mis en correspondance avec "metadata.timestamp"

"principal_hostname" est mappé à "target.hostname" si la valeur correspond à "USER_LOGOUT" ou qu'elle est mappée sur "principal.hostname".

principal_application est mappé vers target.application si la valeur est "USER_LOGOUT" sinon elle est mappée sur "principal.application"

pid est mappé vers target.process.pid, si la valeur est "USER_LOGOUT" sinon , elle est mappée sur principal.process.pid.

security_description est mis en correspondance avec "security_result.description"

network_session_id est mappé sur "network.session_id"

"principal_user_userid" est mappé sur "principal.user.userid", si la valeur est "USER_LOGOUT" sinon, elle est mappée sur target.user.userid.

"principal.platform" est défini sur "LINUX".

Si "security_description de l'événement" est défini sur "Removed" (Session supprimée), le champ "event_type" est défini sur "USER_LOGOUT".

extensions.auth.type est défini sur AUTHTYPE_UNSPECIFIED

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/auth.log 27 juin 11:07:17 Ubuntu18 systemd-logind[804]: nouvelle session 564 de root user. {timestamp} {principal_hostname}{principal_application}(<facultatif_champ>[{pid}]):{security_description}{network_session_id}?(de l'utilisateur{principal_user_userid})? CONNEXION DE L'UTILISATEUR

timestamp est mis en correspondance avec "metadata.timestamp"

"principal_hostname" est mappé à "target.hostname" si la valeur correspond à "USER_LOGOUT" ou qu'elle est mappée sur "principal.hostname".

principal_application est mappé vers target.application si la valeur est "USER_LOGOUT" sinon elle est mappée sur "principal.application"

pid est mappé vers target.process.pid, si la valeur est "USER_LOGOUT" sinon , elle est mappée sur principal.process.pid.

security_description est mis en correspondance avec "security_result.description"

network_session_id est mappé sur "network.session_id"

"principal_user_userid" est mappé sur "principal.user.userid", si la valeur est "USER_LOGOUT" sinon, elle est mappée sur target.user.userid.

"principal.platform" est défini sur "LINUX".

"network.application_protocol" est mappé à "SSH".

if_new_session est défini sur USER_LOGIN

extensions.auth.type est défini sur AUTHTYPE_UNSPECIFIED

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/auth.log 27 juin 11:07:17 Ubuntu18 sshd[9349]: mot de passe accepté pour la racine 198.51.100.1 (port 57619 ssh2) {timestamp} {principal_hostname}{principal_application}(<facultatif_champ>[{pid}])<facultatif_champ> {security_description} pour (utilisateur non valide) CONNEXION DE L'UTILISATEUR

timestamp est mis en correspondance avec "metadata.timestamp"

"principal_hostname" est mappé à "target.hostname" si la valeur correspond à "USER_LOGOUT" ou qu'elle est mappée sur "principal.hostname".

principal_application est mappé vers target.application si la valeur est "USER_LOGOUT" sinon elle est mappée sur "principal.application"

pid est mappé vers target.process.pid, si la valeur est "USER_LOGOUT" sinon , elle est mappée sur principal.process.pid.

security_description est mis en correspondance avec "security_result.description"

"principal_user_userid" est mappé sur "principal.user.userid", si la valeur est "USER_LOGOUT" sinon, elle est mappée sur target.user.userid.

principal_ip est mappé sur "principal.ip".

main_port est mappé à "principal.port".

security_result_detection_fields_ssh_kv est mappé sur "security_result.detection_fields.key/value"

security_result_detection_fields_kv est mis en correspondance avec "security_result.detection_fields.key/value"

"principal.platform" est défini sur "LINUX".

"network.application_protocol" est défini sur "SSH".

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/auth.log 28 avr. 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<facultatif_champ>[{pid}])<facultatif_champ> {principal_user_userid} :( {security_description} ;)? TTY\"> ACTUALITÉ

timestamp est mappé à metadata.timestamp

main_hostname est mappé sur principal.hostname

principal_application est mappé sur principal.application

pid est mappé sur principal.process.pid

compte_utilisateur_principal associé à target.user.userid

security_description est mis en correspondance avec "security_result.description"

principal_process_command_line_1 est mappé sur &maint;principal.process.command_line"

principal_process_command_line_2 est mappé sur "principal.process.command_line"

principal_user_attribute_labels_uid_kv est mappé sur "&principal.user.attribute.labels.key/value"

"principal.platform" est défini sur "LINUX".

/var/log/auth.log 4 juil. 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session ouverte pour la racine de l'utilisateur par (uid=0) {timestamp} {principal_hostname}{principal_application}(<facultatif_champ>[{pid}])<facultatif_champ> {security_description} pour (invalid user|user)?{principal_user_userid}(par (uid={principal_user_attribute_labels_uid_kv}))?$ CONNEXION DE L'UTILISATEUR

timestamp est mappé à metadata.timestamp

"principal_hostname" est mappé à "target.hostname" si la valeur correspond à "USER_LOGOUT" ou qu'elle est mappée sur "principal.hostname".

principal_application est mappé vers target.application si la valeur est "USER_LOGOUT" sinon elle est mappée sur "principal.application"

pid est mappé vers target.process.pid, si la valeur est "USER_LOGOUT" sinon , elle est mappée sur principal.process.pid.

security_description est mis en correspondance avec "security_result.description"

"principal_user_userid" est mappé sur "principal.user.userid", si la valeur est "USER_LOGOUT" sinon, elle est mappée sur target.user.userid.

principal_user_attribute_labels_uid_kv est mappé sur "&principal.user.attribute.labels.key/value"

"principal.platform" est défini sur "LINUX".

"network.application_protocol" est défini sur "SSH".

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/auth.log 4 juil. 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session fermée pour l'utilisateur racine {timestamp} {principal_hostname}{principal_application}<facultatif_fichier_fichier>[{pid}]): {security_description} pour (invalid user|user){principal_user_userid} USER_LOGOUT

timestamp est mappé à metadata.timestamp

"principal_hostname" est mappé à "target.hostname" si la valeur correspond à "USER_LOGOUT" ou qu'elle est mappée sur "principal.hostname".

principal_application est mappé vers target.application si la valeur est "USER_LOGOUT" sinon elle est mappée sur "principal.application"

pid est mappé vers target.process.pid, si la valeur est "USER_LOGOUT" sinon , elle est mappée sur principal.process.pid.

security_description est mis en correspondance avec "security_result.description"

"principal_user_userid" est mappé sur "principal.user.userid", si la valeur est "USER_LOGOUT" sinon, elle est mappée sur target.user.userid.

principal_user_attribute_labels_uid_kv est mappé sur principal.user.attribute.labels.key/value

"principal.platform" est défini sur "LINUX".

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/auth.log 30 juin 11:32:26 Ubuntu18 sshd[29425]: réinitialisation de la connexion en authentifiant la racine de l'utilisateur 198.51.100.1 (port 52518) [preauth] {timestamp} {principal_hostname}{principal_application}(<facultatif_champ>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<facultatif_champ>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

timestamp est mappé à metadata.timestamp

"principal_hostname" est mappé à "target.hostname" si la valeur correspond à "USER_LOGOUT" ou qu'elle est mappée sur "principal.hostname".

principal_application est mappé vers target.application si la valeur est "USER_LOGOUT" sinon elle est mappée sur "principal.application"

pid est mappé vers target.process.pid, si la valeur est "USER_LOGOUT" sinon , elle est mappée sur principal.process.pid.

security_description est mappé avec security_result.description

security_summary est mappé avec security_result.summary

"principal_user_userid" est mappé sur "principal.user.userid", si la valeur est "USER_LOGOUT" sinon, elle est mappée sur target.user.userid.

target_ip est mappé avec target.ip

target_port est mappé sur target.port"

principal.platform est défini sur "LINUX".

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

var/log/samba/log.winbindd [05/05/2022 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initial_winbindd_cache)Initialize_winbindd_cache: Videz le cache et recréez-le avec la version 2 {timestamp},{severity}(<facultatif_champ>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:security_description} ACTUALITÉ

timestamp est mis en correspondance avec "metadata.timestamp"

pid est mis en correspondance avec "principal.process.pid"

principal_user_attribute_labels_kv est mappé sur "principal.user.attribute.labels".

principal_group_attribute_labels_kv est mappé sur "principal.group.attribute.labels"

compte_utilisateur_id_utilisateur et {0}.principal.user.userid"

principal_group_product_object_id est associé à &principal

security_description est mis en correspondance avec "security_result.description"

metadata_description est mappée sur "metadata.description"

metadata.product_name est défini sur &FluentD

metadata.vendor_name&&t; est définie sur "FLUENTD"

var/log/samba/log.winbindd Messaging_dgm_init: échec de la liaison: aucun espace restant sur l'appareil {user_id}: {desc} ACTUALITÉ

metadata.product_name est défini sur &FluentD

metadata.vendor_name&&t; est définie sur "FLUENTD"

user_id est mappé avec principal.user.userid

desc est mappé sur metadata.description

/var/log/mail.log 16 juillet 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from ils {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} ACTUALITÉ

target_hostname est mappé sur target.hostname

application est mappée sur target.application

pid est mappé sur target.process.pid

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/mail.log 7 juillet 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from profiter d'un nouveau {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname est mappé sur target.hostname

application est mappée sur target.application

pid est mappé sur target.process.pid

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/mail.log 7 juillet 13:44:01 prod postfix/clean[23434]: AE4271627DB: message-id\"> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id\"> ACTUALITÉ

target_hostname est mappé sur target.hostname

application est mappée sur target.application

pid est mappé sur target.process.pid

resource_name est mappé sur target.resource.name

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/mail.log 7 juillet 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from afin de {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname est mappé sur target.hostname

application est mappée sur target.application

pid est mappé sur target.process.pid

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/mail.log 7 juillet 13:44:01 prod postfix/smtp[23436]: connexion à gmail-smtp-in.l.abc.com[2607:xxxx:xxxx:xxx::xx]:25: réseau inaccessible {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} ACTUALITÉ

target_hostname est mappé sur target.hostname

application est mappée sur target.application

pid est mappé sur target.process.pid

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

/var/log/mail.log 7 juillet 13:44:02 prod postfix/local[23439]: E62521627DC: to\"> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname est mappé sur target.hostname

application est mappée sur target.application

pid est mappé sur target.process.pid

metadata.vendor_name est défini sur "FLUENTD"

metadata.product_name est défini sur &lut;FLUENTD"

Audit

Champs de journal d'audit sur les champs UDM

Le tableau suivant répertorie les champs de journal du type de journal d'audit et les champs UDM correspondants.

Champ du journal Champ UDM
compte target.user.user_display_name
additionneur principal.ip
arch about.labels.key/valeur
Auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
communication application.cible
cwd target.file.full_path
données about.labels.key/valeur
Devmajor about.labels.key/valeur
Devminor about.labels.key/valeur
Egid target.group.product_object_id
EID target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
famille network.ip_protocol est défini sur "IP6IN4" if "ip_protocol" == 2 else it is set to "UNKNOWN_IP_PROTOCOL"
type de fichier target.file.mime_type
fsgid target.group.product_object_id
Fsuid target.user.userid
gid target.group.product_object_id
hostname target.hostname
ICMP network.ip_protocol est défini sur &ICT;ICMP
id Si [audit_log_type] == &addtUSER_USER, target.user.userid est défini sur "%{id}"

Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id est défini sur "%{id}"

else target.user.attribute.labels.key/value est défini sur id

inode target.resource.product_object_id
clé security_result.detection_fields.key/valeur
list security_result.about.labels.key/valeur
mode target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

name target.file.full_path
nouveau-disque target.resource.name
nouvelle-mem target.resource.attribute.labels.key/value
nouveau-processeur virtuel target.resource.attribute.labels.key/value
new-net pincipal.mac
nouveau_gid target.group.product_object_id
Oauid target.user.userid
Ocomm target.process.command_line
opid target.process.pid
Os id_session.network
identifiant target.user.userid
obj_gid target.group.product_object_id
rôle_obj target.user.attribute.role.name
Obj_uid target.user.userid
utilisateur_obj target.user.user_display_name
Ogé target.group.product_object_id
identifiant target.user.userid
chemin d'accès target.file.full_path
permanente target.asset.attribute.permissions.name
PID target.process.pid
ppid target.parent_process.pid
proto Si [ip_protocol] == 2, network.ip_protocol est défini sur "IP6IN4"

else network.ip_protocol est défini sur &UNKNOWN_IP_PROTOCOL"

résolution security_result.summary
résultat security_result.summary
saddr security_result.detection_fields.key/valeur
Sauid target.user.attribute.labels.key/value
ses id_session.network
Sgid target.group.product_object_id
Sig security_result.detection_fields.key/valeur
utilisateur_j target.user.user_display_name
success Si success=\t#39;yes', security_result.summary est défini sur 'system call was successfully' else security_result.summary est défini sur 'systemcall was failed'
Suid target.user.userid
appel système about.labels.key/valeur
terminal target.labels.key/value
TTY target.labels.key/value
uid Si [audit_log_type] dans [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, est défini sur USER_ID.

else uid est défini sur target.user.userid

vm target.resource.name

Types de journaux d'audit vers le type d'événement UDM

Le tableau suivant répertorie les types de journaux d'audit et les types d'événements UDM correspondants.

Type de journal d'audit Type d'événement UDM Description
AJOUTER UN GROUPE CRÉATION DE GROUPE Déclenchement lorsqu'un groupe d'espaces utilisateur est ajouté.
AJOUTER UN UTILISATEUR CRÉATION D'UTILISATEURS Déclenchement lorsqu'un compte utilisateur dans l'espace utilisateur est ajouté.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Déclenchement lorsqu'un processus se termine de manière anormale (avec un signal pouvant provoquer un vidage de la zone abdominale, s'il est activé).
AVC GENERIC_EVENT Déclenchement pour enregistrer une vérification d'autorisation SELinux.
CONFIG_MODIFICATION USER_RESOURCE_UPDATE_CONTENT Déclenché lorsque la configuration du système d'audit est modifiée
CRED_ACQ CONNEXION DE L'UTILISATEUR Déclenchement lorsqu'un utilisateur acquiert des identifiants d'espace utilisateur.
CRED_DISP USER_LOGOUT Déclenchement lorsqu'un utilisateur supprime les identifiants de l'espace utilisateur.
CRED_REFR CONNEXION DE L'UTILISATEUR Déclenchement lorsqu'un utilisateur actualise ses identifiants d'espace utilisateur.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS (ACCÈS_RESSOURCES_UTILISATEUR) Déclenchement pour enregistrer l'identifiant de clé cryptographique utilisé à des fins cryptographiques.
CRYPTO_SESSION (CRYPTO_SESSION) TERMINATION DU PROCESSUS Déclenchement pour l'enregistrement des paramètres définis lors de l'établissement d'une session TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Déclenchement pour l'enregistrement du répertoire de travail actuel.
DAEMON_ABORT TERMINATION DU PROCESSUS Déclenché lorsqu'un daemon est arrêté en raison d'une erreur.
DAEMON_END TERMINATION DU PROCESSUS Déclenché lorsqu'un daemon est arrêté avec succès.
RÉSUMÉ PROCESS_UNCATEGORIZED Déclenché lorsque le daemon audité reprend la journalisation.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Déclenché lorsque le daemon audité effectue une rotation des fichiers journaux d'audit.
DAEMON_START LANCEMENT DE PROCESSUS Déclenchement au démarrage du daemon audité.
DEL_GROUP GROUPE_DELETION Déclenchement lorsqu'un groupe d'espaces utilisateur est supprimé
En attente SUPPRESSION_UTILISATEUR Déclenché lorsqu'un utilisateur de l'espace utilisateur est supprimé
EXECVE LANCEMENT DE PROCESSUS Déclenché pour enregistrer les arguments de l'appel système execve(2).
MAC_CONFIG_CHANGER GENERIC_EVENT Déclenchement lorsqu'une valeur booléenne SELinux est modifiée.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Déclenchement pour enregistrer des informations sur un événement IPSec, lorsqu'un événement est détecté ou lorsque la configuration IPSec est modifiée.
MAC_POLICY_LOAD GENERIC_EVENT Déclenchement lors du chargement d'un fichier de règles SELinux.
MAC_STATUS GENERIC_EVENT Déclenché lorsque le mode SELinux (en-tête forcé, permissif, désactivé) est modifié.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Déclenchement lorsqu'une étiquette statique est ajoutée lors de l'utilisation des fonctionnalités d'étiquetage de paquets du noyau fournies par NetLabel.
FILTRER_FICHIER GENERIC_EVENT Déclenché lorsque des modifications de la chaîne Netfilter sont détectées.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Déclenchement pour enregistrer des informations sur un processus auquel un signal est envoyé.
CHEMIN FILE_OPEN/GENERIC_EVENT Déclenchement pour enregistrer des informations sur le chemin d'accès au nom de fichier.
SELINUX_ERRON GENERIC_EVENT Déclenché lorsqu'une erreur SELinux interne est détectée.
SERVICE_START SERVICE_START Déclenché lorsqu'un service est démarré.
SERVICE_STOP (ARRÊT DE SERVICE) SERVICE_STOP (ARRÊT DE SERVICE) Déclenché lorsqu'un service est arrêté.
SYSAPPEL GENERIC_EVENT Déclenchement visant à enregistrer un appel système au noyau.
SYSTEM_BOOT STATUS_STARTUP Déclenchement au démarrage du système.
SYSTEM_RUNLEVEL ACTUALITÉ Déclenché lorsque le niveau d'exécution du système change.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Déclenché lorsque le système est arrêté.
ACC_USER SETTINGS_MODIFICATION Déclenchement lorsqu'un compte utilisateur de l'espace utilisateur est modifié.
AUTORISATION UTILISATEUR CONNEXION DE L'UTILISATEUR Déclenchement lorsqu'une tentative d'authentification d'espace utilisateur est détectée.
CAR USER_UNCATEGORIZED Déclenchement lorsqu'un message AVC d'espace utilisateur est généré.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Déclenchement lorsqu'un attribut de compte utilisateur est modifié.
UTILISATEUR_CMD COMMUNICATION_UTILISATEUR Déclenché lorsqu'une commande d'interface système d'espace utilisateur est exécutée.
USER_END USER_LOGOUT Déclenchement à la fin d'une session d'espace utilisateur.
USER_ERRON USER_UNCATEGORIZED Déclenché lorsqu'une erreur d'état du compte utilisateur est détectée.
CONNEXION DE L'UTILISATEUR CONNEXION DE L'UTILISATEUR Déclenchement lorsqu'un utilisateur se connecte.
USER_LOGOUT USER_LOGOUT Déclenchement lorsqu'un utilisateur se déconnecte.
USER_MAC_POLICY_LOAD RESOURCE_READ (lecture_ressource) Déclenchement lorsqu'un daemon d'espace utilisateur charge une règle SELinux.
USER_MGMT USER_UNCATEGORIZED Déclenchement pour enregistrer des données de gestion de l'espace utilisateur.
MODIFICATION_UTILISATEUR AUTORISATIONS_UTILISATEUR Déclenchement lorsqu'un rôle SELinux d'un utilisateur est modifié.
ACTIVER CONNEXION DE L'UTILISATEUR Déclenchement lorsqu'une session d'espace utilisateur est démarrée.
CONFIGURER USER_RESOURCE_UPDATE_CONTENT Déclenchement lorsqu'une modification de configuration du système de l'espace utilisateur est détectée.
VIRTATION ACTUALITÉ Déclenchement lorsqu'une machine virtuelle est démarrée, mise en pause ou arrêtée.
ID_MACHINE_VIRT. USER_RESOURCE_ACCESS (ACCÈS_RESSOURCES_UTILISATEUR) Déclenchement pour enregistrer la liaison d'un libellé à une machine virtuelle.
VIRT_RESOURCE USER_RESOURCE_ACCESS (ACCÈS_RESSOURCES_UTILISATEUR) Déclenchement pour enregistrer l'attribution des ressources d'une machine virtuelle.

Messagerie

Champs de journal de messagerie dans les champs UDM

Le tableau suivant répertorie les champs de journal du type de journal de messagerie et les champs UDM correspondants.

Champ du journal Champ UDM
Classe about.labels.key/valeur
Ctladdr nom.utilisateur.utilisateur_à_afficher
De Adresse e-mail du réseau
Msgid email.mail.id_réseau
Proto network.application_protocol (protocole d'application)
Relais intermediary.hostname

intermediary.ip

Taille network.Receivedd_bytes
Stats security_result.summary
à network.email.to

Types de journaux de messagerie pour le type d'événement UDM

Le tableau suivant répertorie les types de journaux de messagerie et les types d'événements UDM correspondants.

Type de journal des e-mails Type d'événement UDM
envoyer un e-mail ACTUALITÉ
pickup EMAIL_UNCATEGORIZED
cleanup ACTUALITÉ
qmgr EMAIL_UNCATEGORIZED
smtp ACTUALITÉ
local EMAIL_UNCATEGORIZED

Étapes suivantes