Mengumpulkan log Fluentd
Dokumen ini menjelaskan cara mengumpulkan log Fluentd dengan mengonfigurasi Fluentd dan forwarder Google Security Operations. Dokumen ini juga mencantumkan jenis log yang didukung dan versi Fluentd yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara Fluentd diinstal di server forwarder dan server agregator untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
Sistem Linux. Sistem Linux yang akan dipantau. Sistem Linux terdiri dari file yang akan dipantau dan server penerusan Fluentd.
Sistem Microsoft Windows. Sistem Microsoft Windows yang akan dipantau tempat server forwarder Fluentd diinstal.
Penerus Fluentd. Pengirim Fluentd mengumpulkan informasi dari sistem Microsoft Windows atau Linux dan meneruskan informasi tersebut ke agregator Fluentd.
Aggregator Fluentd. Agregator Fluentd menerima log dari forwarder Fluentd dan meneruskan log ke forwarder Google Security Operations.
Penerus Google Security Operations. Pengirim Google Security Operations adalah komponen software ringan, yang di-deploy di jaringan pelanggan, yang mendukung syslog. Pengirim Google Security Operations meneruskan log ke Google Security Operations.
Google Security Operations. Google Security Operations menyimpan dan menganalisis log dari agregator Fluentd.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer FLUENTD
.
Sebelum memulai
Pastikan forwarder Fluentd diinstal di sistem Microsoft Windows atau Linux yang Anda rencanakan untuk dipantau. Untuk informasi selengkapnya tentang cara menginstal forwarder Fluentd, lihat Penginstalan Fluentd
Gunakan versi Fluentd yang didukung parser Google Security Operations. Parser Operasi Keamanan Google mendukung Fluentd versi 1.0.
Pastikan agregator Fluentd diinstal dan dikonfigurasi di server Linux pusat.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi di zona waktu UTC.
Verifikasi jenis log yang didukung parser Google Security Operations. Tabel berikut mencantumkan produk dan jalur file log yang didukung parser Google Security Operations:
Sistem operasi Produk Jalur file log Microsoft Windows Microsoft Windows Log aktivitas Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Mengonfigurasi penerusan dan agregator Fluentd, serta penerusan Google Security Operations
Untuk memantau log yang dihasilkan sistem Linux, buat file
td-agent.conf
untuk menentukan konfigurasi pemantauan log untuk forwarder Fluentd. Berikut adalah contoh file konfigurasi untuk forwarder Fluentd di sistem Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>
Untuk memantau log yang dihasilkan sistem Microsoft Windows, buat file
td-agent.conf
untuk menentukan konfigurasi pemantauan log untuk forwarder Fluentd. Berikut adalah contoh file konfigurasi untuk forwarder Fluentd di sistem Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>
Untuk meneruskan log dari agregator Fluentd ke penerusan Google Security Operations, buat file konfigurasi dalam format berikut:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>
Konfigurasikan penerusan Google Security Operations untuk mengirim log ke Google Security Operations. Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi forwarder Google Security Operations:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser menerapkan pola grok untuk sistem Linux dan Microsoft Windows serta cara memetakan kolom log Fluentd ke kolom Unified Data Model (UDM) Google Security Operations untuk setiap jenis log.
Untuk informasi tentang referensi pemetaan kolom umum, lihat Kolom umum
Untuk informasi referensi tentang jalur log, pola grok untuk contoh log, jenis peristiwa, dan kolom UDM di sistem Linux, lihat bagian berikut:
Untuk informasi tentang peristiwa Microsoft Windows yang didukung dan kolom UDM yang sesuai, lihat Data peristiwa Microsoft Windows
Kolom umum
Tabel berikut mencantumkan kolom log umum dan kolom UDM yang sesuai.
Kolom log umum | Kolom UDM |
---|---|
collected_time | metadata.collected_timestamp |
inner_message.message | inner_message |
inner_message.forwarder_hostname | target.hostname atau principal.hostname |
inner_message.path | event_source |
Sistem Linux
Tabel berikut mencantumkan jalur log untuk sistem Linux, pola grok untuk contoh log, jenis peristiwa, dan pemetaan UDM:
Jalur log | Contoh log | Pola Grok | Jenis peristiwa | Pemetaan UDM |
---|---|---|---|---|
/var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid error_message dipetakan ke security_result.description network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target.platform ditetapkan ke "LINUX" referer_url dipetakan ke network.http.referral_url |
/var/log/apache2/error.log | [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target_ip dipetakan ke target.ip referer_url dipetakan ke network.http.referral_url network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port connection_id dipetakan ke network.session_id network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/error.log | [Sabtu, 02 Februari 00.30.55 2019] Permintaan baru: [koneksi: j8BjX4Z5tjk] [permintaan: ACtkX1Z5tjk] [pid 8] [klien 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp request_id dipetakan ke security_result.detection_fields.(key/value) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_level dipetakan ke security_result.severity request_id dipetakan ke security_result.detection_fields.(key/value) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id error_message dipetakan ke security_result.description file_path dipetakan ke target.file.full_path network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.hostname stempel waktu dipetakan ke metadata.event_timestamp metode dipetakan ke network.http.method resource dipetakan ke principal.resource.name client_protocol dipetakan ke network.application_protocol result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host dipetakan ke target.hostname
target_port dipetakan ke target.port client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.hostname stempel waktu dipetakan ke metadata.event_timestamp metode dipetakan ke network.http.method resource dipetakan ke principal.resource.name result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" network.application_protocol ditetapkan ke "HTTP" |
var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid metode dipetakan ke network.http.method path dipetakan ke target.url result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" network.application_protocol ditetapkan ke "HTTP" |
/var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path dipetakan ke target.url referer_url dipetakan ke network.http.referral_url network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
/var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent dipetakan ke network.http.user_agent network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time dipetakan ke metadata.timestamp ip dipetakan ke target.ip principal_ip dipetakan ke principal.ip principal_user_userid dipetakan ke principal.user.userid metadata_timestamp dipetakan ke stempel waktu http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protocol dipetakan ke network.application_protocol = (HTTP) response_code dipetakan ke network.http.response_code received_bytes dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 dipetakan ke "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() ke ({target_ip}|[{target_ip}]):{target_port} gagal ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id dipetakan ke principal.process.pid severity dipetakan ke security_result.severity (debug dipetakan ke UNKNOWN_SEVERITY, info dipetakan ke INFORMATIONAL, pemberitahuan dipetakan ke LOW, peringatan dipetakan ke MEDIUM, error dipetakan ke ERROR, crit dipetakan ke CRITICAL, pemberitahuan dipetakan ke HIGH) target_file_full_path dipetakan ke target.file.full_path principal_ip dipetakan ke principal.ip target_hostname dipetakan ke target.hostname http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protokol dipetakan ke "TCP" target_ip dipetakan ke target.ip target_port dipetakan ke target.port security_description + security_result_description_2 dipetakan ke security_result.description pid dipetakan ke principal.process.parent_process.pid network.application_protocol ditetapkan ke "HTTP" stempel waktu dipetakan ke {year}/{day}/{month} {time} target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
var/log/rkhunter.log | [14:10:40] Pemeriksaan perintah yang diperlukan gagal | [<message_text>]{security_description} | UPDATE STATUS | time dipetakan ke metadata.timestamp security_description dipetakan ke security_result.description principal.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name ditetapkan ke "RootKit Hunter" |
var/log/rkhunter.log | [14:09:52] Memeriksa file '/dev/.oz/.nap/rkit/terror' [ Tidak ditemukan ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description dipetakan ke metadata.description
file_path dipetakan ke target.file.full_path security_description dipetakan ke security_result.description principal.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name ditetapkan ke "RootKit Hunter" |
var/log/rkhunter.log | fluentd: Ukuran file dikurangi (inode tetap ada): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time dipetakan ke metadata.timestamp metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path principal.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name ditetapkan ke "RootKit Hunter" |
/var/log/kern.log | 28 Apr 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | UPDATE STATUS | stempel waktu dipetakan ke "metadata.event_timestamp" principal_hostname dipetakan ke "principal.hostname" metadata_product_event_type dipetakan ke "metadata.product_event_type" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" principal.platform ditetapkan ke "LINUX" |
/var/log/kern.log | 6 Jul 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_hostname dipetakan ke "principal.hostname" metadata_product_event_type dipetakan ke "metadata.product_event_type" principal_asset_hardware_cpu_model dipetakan ke "principal.asset.hardware.cpu_model" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" principal.platform ditetapkan ke "LINUX" cpu_model dipetakan ke principal.asset.hardware.cpu_model |
/var/log/syslog.log | 24 Mei 10.30.42 Ubuntu18 systemd[1]: Memulai Sesi 112 pengguna kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" principal.platform ditetapkan ke "LINUX" command_line dipetakan ke principal.process.command_line |
/var/log/syslog.log | 06-07 10:14:37 Ubuntu18 rsyslogd: userid rsyslogd diubah menjadi 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time dipetakan ke metadata.collected_timestamp nama host dipetakan ke principal.hostname pesan dipetakan ke metadata.description user_id dipetakan ke principal.user.userid command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" principal.platform ditetapkan ke "LINUX" |
/var/log/syslog.log | 06 Jul 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" principal.platform ditetapkan ke "LINUX" command_line dipetakan ke principal.process.command_line |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity local_ip dipetakan ke principal.ip target_ip dipetakan ke target.ip target_hostname dipetakan ke principal.hostname port dipetakan ke target.port user dipetakan ke principal.user.user_display_name metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | UPDATE STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity msg dipetakan ke security_result.description metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" pesan dipetakan ke (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
UPDATE STATUS | principal.platform ditetapkan ke "LINUX" target_ip dipetakan ke target.ip target_port dipetakan ke target.port severity dipetakan ke security_result.severity stempel waktu dipetakan ke metadata.timestamp metadata.vendor_name ditetapkan ke OpenVPN metadata.product_name ditetapkan ke OpenVPN Access Server |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") pesan dipetakan ke <message_text>with[<message_text>]<message_text>:{port}<message_text> |
UPDATE STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity metadata.vendor_name ditetapkan ke OpenVPN metadata.product_name ditetapkan ke OpenVPN Access Server principal.platform ditetapkan ke Linux target_ip dipetakan ke target.ip target_port dipetakan ke target.port target_hostname dipetakan ke target.hostname intermediary_ip dipetakan ke intermediary.ip |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | UPDATE STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke metadata.description pengguna dipetakan ke target.hostname ip dipetakan ke target.ip port dipetakan ke taregt.port metadata.vendor_name ditetapkan ke OpenVPN metadata.product_name ditetapkan ke OpenVPN Access Server principal.platform ditetapkan ke Linux |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | UPDATE STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description ringkasan dipetakan ke security_result.summary user_name dipetakan ke principal.user.user_display_name cli dipetakan ke principal.process.command_line status dipetakan ke principal.user.user_authentication_status metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
/var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Mengakses kunci konfigurasi '[filterNames]' melalui notasi titik tidak digunakan lagi, dan akan dihapus dalam rilis mendatang. Sebagai gantinya, gunakan 'config.getProperty(key, targetClass)'. | [{timestamp}]{severity}{summary}\-{security_description}
, di {command_line}\({file_path}:<message_text>\) |
UPDATE STATUS | command_line dipetakan ke "target.process.command_line"
file_path dipetakan ke "target.process.file.full_path" stempel waktu dipetakan ke "metadata.event_timestamp" severity dipetakan ke "security_result.severity" summary dipetakan ke "security_result.summary" security_description dipetakan ke "security_result.description" metadata.product_name ditetapkan ke "FLUENTD" metadata.vendor_name ditetapkan ke "FLUENTD" |
/var/log/auth.log | 4 Jul 19:26:19 Ubuntu18 systemd-logind[982]: Menghapus sesi 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | stempel waktu dipetakan ke "metadata.timestamp" principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid. "principal.platform" ditetapkan ke "LINUX" Jika security_description peristiwa adalah Sesi dihapus, event_type akan ditetapkan ke USER_LOGOUT. extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/auth.log | 27 Jun 11:07:17 Ubuntu18 systemd-logind[804]: Sesi baru 564 dari root pengguna. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid. "principal.platform" ditetapkan ke "LINUX" "network.application_protocol" dipetakan ke "SSH" if(new_session) event_type ditetapkan ke USER_LOGIN extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/auth.log | Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid. principal_ip dipetakan ke "principal.ip" principal_port dipetakan ke "principal.port" security_result_detection_fields_ssh_kv dipetakan ke "security_result.detection_fields.key/value" security_result_detection_fields_kv dipetakan ke "security_result.detection_fields.key/value" "principal.platform" ditetapkan ke "LINUX" "network.application_protocol" ditetapkan ke "SSH" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/auth.log | Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | UPDATE STATUS | stempel waktu dipetakan ke metadata.timestamp principal_hostname dipetakan ke principal.hostname principal_application dipetakan ke principal.application pid dipetakan ke principal.process.pid principal_user_userid dipetakan ke target.user.userid security_description dipetakan ke "security_result.description" principal_process_command_line_1 dipetakan ke "principal.process.command_line" principal_process_command_line_2 dipetakan ke "principal.process.command_line" principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "principal.platform" ditetapkan ke "LINUX" |
/var/log/auth.log | 4 Jul 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | stempel waktu dipetakan ke metadata.timestamp principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid. principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "principal.platform" ditetapkan ke "LINUX" "network.application_protocol" ditetapkan ke "SSH" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/auth.log | 4 Jul 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | stempel waktu dipetakan ke metadata.timestamp principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid. principal_user_attribute_labels_uid_kv dipetakan ke principal.user.attribute.labels.key/value "principal.platform" ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/auth.log | 30 Jun 11:32:26 Ubuntu18 sshd[29425]: Koneksi direset dengan mengautentikasi root pengguna 198.51.100.1 port 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | stempel waktu dipetakan ke metadata.timestamp principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid. security_description dipetakan ke security_result.description security_summary dipetakan ke security_result.summary principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid. target_ip dipetakan ke target.ip target_port dipetakan ke target.port" principal.platform" ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: menghapus cache dan membuat ulang dengan nomor versi 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | UPDATE STATUS | stempel waktu dipetakan ke "metadata.timestamp" pid dipetakan ke "principal.process.pid" principal_user_attribute_labels_kv dipetakan ke "principal.user.attribute.labels" principal_group_attribute_labels_kv dipetakan ke "principal.group.attribute.labels" principal_user_userid dipetakan ke "principal.user.userid" principal_group_product_object_id dipetakan ke "principal.group.product_object_id" security_description dipetakan ke "security_result.description" metadata_description dipetakan ke "metadata.description" metadata.product_name" ditetapkan ke "FLUENTD" metadata.vendor_name" ditetapkan ke "FLUENTD" |
var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | UPDATE STATUS | metadata.product_name" ditetapkan ke "FLUENTD" metadata.vendor_name" ditetapkan ke "FLUENTD" user_id dipetakan ke principal.user.userid desc dipetakan ke metadata.description |
/var/log/mail.log | 16 Juli 11.40.56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | UPDATE STATUS | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/mail.log | 7 Juli 13.44.01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/mail.log | 7 Juli 13.44.01 postfix/cleanup produksi[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | UPDATE STATUS | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid resource_name dipetakan ke target.resource.name metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/mail.log | 7 Juli 13.44.01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/mail.log | 7 Juli 13.44.01 postfix/smtp produksi[23436]: terhubung ke gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Jaringan tidak dapat dijangkau | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | UPDATE STATUS | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
/var/log/mail.log | 7 Juli 13.44.02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
Audit
Kolom log audit ke kolom UDM
Tabel berikut mencantumkan kolom log dari jenis log audit dan kolom UDM yang sesuai.
Kolom log | Kolom UDM |
---|---|
akun | target.user.user_display_name |
addr | principal.ip |
arch | about.labels.key/value |
auid | target.user.userid |
cgroup | principal.process.file.full_path |
cmd | target.process.command_line |
comm | target.application |
cwd | target.file.full_path |
data | about.labels.key/value |
devmajor | about.labels.key/value |
devminor | about.labels.key/value |
egid | target.group.product_object_id |
euid | target.user.userid |
exe | target.process.file.full_path |
exit | target.labels.key/value |
keluarga | network.ip_protocol ditetapkan ke "IP6IN4" jika "ip_protocol" == 2, jika tidak, ditetapkan ke "UNKNOWN_IP_PROTOCOL" |
filetype | target.file.mime_type |
fsgid | target.group.product_object_id |
fsuid | target.user.userid |
gid | target.group.product_object_id |
hostname | target.hostname |
icmptype | network.ip_protocol ditetapkan ke "ICMP" |
id | Jika [audit_log_type] == "ADD_USER", target.user.userid ditetapkan ke "%{id}"
Jika [audit_log_type] == "ADD_GROUP", target.group.product_object_id ditetapkan ke "%{id}" else target.user.attribute.labels.key/value is set to id |
inode | target.resource.product_object_id |
kunci | security_result.detection_fields.key/value |
list | security_result.about.labels.key/value |
mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
nama | target.file.full_path |
new-disk | target.resource.name |
new-mem | target.resource.attribute.labels.key/value |
vcpu-baru | target.resource.attribute.labels.key/value |
new-net | pincipal.mac |
new_gid | target.group.product_object_id |
oauid | target.user.userid |
ocomm | target.process.command_line |
opid | target.process.pid |
oses | network.session_id |
ouid | target.user.userid |
obj_gid | target.group.product_object_id |
obj_role | target.user.attribute.role.name |
obj_uid | target.user.userid |
obj_user | target.user.user_display_name |
ogid | target.group.product_object_id |
ouid | target.user.userid |
jalur | target.file.full_path |
perm | target.asset.attribute.permissions.name |
pid | target.process.pid |
ppid | target.parent_process.pid |
proto | Jika [ip_protocol] == 2, network.ip_protocol ditetapkan ke "IP6IN4"
else network.ip_protocol ditetapkan ke "UNKNOWN_IP_PROTOCOL" |
res | security_result.summary |
hasil | security_result.summary |
saddr | security_result.detection_fields.key/value |
sauid | target.user.attribute.labels.key/value |
ses | network.session_id |
sgid | target.group.product_object_id |
sig | security_result.detection_fields.key/value |
subj_user | target.user.user_display_name |
berhasil | Jika success=='yes', security_result.summary ditetapkan ke 'system call was successful' jika tidak, security_result.summary ditetapkan ke 'systemcall was failed' |
suid | target.user.userid |
syscall | about.labels.key/value |
terminal | target.labels.key/value |
tty | target.labels.key/value |
uid | Jika [audit_log_type] di [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid ditetapkan ke principal.user.userid
jika tidak, uid ditetapkan ke target.user.userid |
vm | target.resource.name |
Jenis log audit ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log audit dan jenis peristiwa UDM yang sesuai.
Jenis log audit | Jenis peristiwa UDM | Deskripsi |
---|---|---|
ADD_GROUP | GROUP_CREATION | Dipicu saat grup ruang pengguna ditambahkan. |
ADD_USER | USER_CREATION | Dipicu saat akun pengguna ruang pengguna ditambahkan. |
ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Dipicu saat proses berakhir secara tidak normal (dengan sinyal yang dapat menyebabkan core dump, jika diaktifkan). |
AVC | GENERIC_EVENT | Dipicu untuk merekam pemeriksaan izin SELinux. |
CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat konfigurasi sistem Audit diubah. |
CRED_ACQ | USER_LOGIN | Dipicu saat pengguna memperoleh kredensial ruang pengguna. |
CRED_DISP | USER_LOGOUT | Dipicu saat pengguna membuang kredensial ruang pengguna. |
CRED_REFR | USER_LOGIN | Dipicu saat pengguna memuat ulang kredensial ruang pengguna mereka. |
CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Dipicu untuk mencatat ID kunci kriptografis yang digunakan untuk tujuan kriptografis. |
CRYPTO_SESSION | PROCESS_TERMINATION | Dipicu untuk merekam parameter yang ditetapkan selama pembuatan sesi TLS. |
CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam direktori kerja saat ini. |
DAEMON_ABORT | PROCESS_TERMINATION | Dipicu saat daemon dihentikan karena error. |
DAEMON_END | PROCESS_TERMINATION | Dipicu saat daemon berhasil dihentikan. |
DAEMON_RESUME | PROCESS_UNCATEGORIZED | Dipicu saat daemon auditd melanjutkan logging. |
DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Dipicu saat daemon auditd merotasi file Log audit. |
DAEMON_START | PROCESS_LAUNCH | Dipicu saat daemon auditd dimulai. |
DEL_GROUP | GROUP_DELETION | Dipicu saat grup ruang pengguna dihapus |
Tertunda | USER_DELETION | Dipicu saat pengguna ruang pengguna dihapus |
EXECVE | PROCESS_LAUNCH | Dipicu untuk merekam argumen panggilan sistem execve(2). |
MAC_CONFIG_CHANGE | GENERIC_EVENT | Dipicu saat nilai Boolean SELinux diubah. |
MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk mencatat informasi tentang peristiwa IPSec, saat peristiwa terdeteksi, atau saat konfigurasi IPSec berubah. |
MAC_POLICY_LOAD | GENERIC_EVENT | Dipicu saat file kebijakan SELinux dimuat. |
MAC_STATUS | GENERIC_EVENT | Dipicu saat mode SELinux (enforcing, permissive, off) diubah. |
MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu saat label statis ditambahkan saat menggunakan kemampuan pemberian label paket kernel yang disediakan oleh NetLabel. |
NETFILTER_CFG | GENERIC_EVENT | Dipicu saat modifikasi rantai Netfilter terdeteksi. |
OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam informasi tentang proses yang menerima sinyal. |
JALUR | FILE_OPEN/GENERIC_EVENT | Dipicu untuk merekam informasi jalur nama file. |
SELINUX_ERR | GENERIC_EVENT | Dipicu saat error SELinux internal terdeteksi. |
SERVICE_START | SERVICE_START | Dipicu saat layanan dimulai. |
SERVICE_STOP | SERVICE_STOP | Dipicu saat layanan dihentikan. |
SYSCALL | GENERIC_EVENT | Dipicu untuk merekam panggilan sistem ke kernel. |
SYSTEM_BOOT | STATUS_STARTUP | Dipicu saat sistem melakukan booting. |
SYSTEM_RUNLEVEL | STATUS_UPDATE | Dipicu saat tingkat operasi sistem diubah. |
SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Dipicu saat sistem dimatikan. |
USER_ACCT | SETTING_MODIFICATION | Dipicu saat akun pengguna ruang pengguna diubah. |
USER_AUTH | USER_LOGIN | Dipicu saat upaya autentikasi ruang pengguna terdeteksi. |
USER_AVC | USER_UNCATEGORIZED | Dipicu saat pesan AVC ruang pengguna dibuat. |
USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat atribut akun pengguna diubah. |
USER_CMD | USER_COMMUNICATION | Dipicu saat perintah shell ruang pengguna dieksekusi. |
USER_END | USER_LOGOUT | Dipicu saat sesi ruang pengguna dihentikan. |
USER_ERR | USER_UNCATEGORIZED | Dipicu saat error status akun pengguna terdeteksi. |
USER_LOGIN | USER_LOGIN | Dipicu saat pengguna login. |
USER_LOGOUT | USER_LOGOUT | Dipicu saat pengguna logout. |
USER_MAC_POLICY_LOAD | RESOURCE_READ | Dipicu saat daemon ruang pengguna memuat kebijakan SELinux. |
USER_MGMT | USER_UNCATEGORIZED | Dipicu untuk mencatat data pengelolaan ruang pengguna. |
USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Dipicu saat peran SELinux pengguna diubah. |
USER_START | USER_LOGIN | Dipicu saat sesi ruang pengguna dimulai. |
USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat perubahan konfigurasi sistem ruang pengguna terdeteksi. |
VIRT_CONTROL | STATUS_UPDATE | Dipicu saat virtual machine dimulai, dijeda, atau dihentikan. |
VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Dipicu untuk mencatat binding label ke virtual machine. |
VIRT_RESOURCE | USER_RESOURCE_ACCESS | Dipicu untuk mencatat penetapan resource virtual machine. |
Kolom log email ke kolom UDM
Tabel berikut mencantumkan kolom log jenis log email dan kolom UDM yang sesuai.
Kolom log | Kolom UDM |
---|---|
Class | about.labels.key/value |
Ctladdr | principal.user.user_display_name |
Dari | network.email.from |
Msgid | network.email.mail_id |
Proto | network.application_protocol |
Relai | intermediary.hostname
intermediary.ip |
Ukuran | network.received_bytes |
Statistik | security_result.summary |
sampai | network.email.to |
Jenis log email ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log email dan jenis peristiwa UDM yang sesuai.
Jenis log email | Jenis peristiwa UDM |
---|---|
sendmail | UPDATE STATUS |
pengambilan | EMAIL_UNCATEGORIZED |
pembersihan | UPDATE STATUS |
qmgr | EMAIL_UNCATEGORIZED |
smtp | UPDATE STATUS |
lokal | EMAIL_UNCATEGORIZED |