Kumpulkan log Fluentd
Dokumen ini menjelaskan cara mengumpulkan log Fluentd dengan mengonfigurasi Fluentd dan penerusan Chronicle. Dokumen ini juga mencantumkan jenis log yang didukung dan versi Fluentd yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Chronicle.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara Fluentd diinstal pada server forwarder dan server agregator untuk mengirim log ke Chronicle. Setiap deployment pelanggan dapat berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
sistem Linux. Sistem Linux yang akan dipantau. Sistem Linux terdiri atas file yang akan dipantau dan server forwarder Fluentd.
Sistem Microsoft Windows. Sistem Microsoft Windows yang akan dipantau tempat server Forwarder Fluentd diinstal.
Penerusan yang lancar. Forwarder Fluentd mengumpulkan informasi dari sistem Microsoft Windows atau Linux dan meneruskan informasi tersebut ke agregator Fluentd.
Agregator yang fasih. Agregator Fluentd menerima log dari Forwarder Fluentd dan meneruskan log ke penerus Chronicle.
Chronicle forwarder. Forwarder Chronicle adalah komponen software ringan yang di-deploy di jaringan pelanggan dan mendukung syslog. Forwarder Chronicle akan meneruskan log ke Chronicle.
Chronicle. Chronicle menyimpan dan menganalisis log dari agregator Fluentd.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label penyerapan FLUENTD.
Sebelum memulai
Pastikan Forwarder Fluentd diinstal di sistem Microsoft Windows atau Linux yang akan Anda pantau. Untuk mengetahui informasi selengkapnya tentang cara menginstal Forwarder Fluentd, lihat Penginstalan Fluentd
Gunakan versi Fluentd yang didukung parser Chronicle. Pengurai Chronicle mendukung Fluentd versi 1.0.
Pastikan agregator Fluentd diinstal dan dikonfigurasi di server Linux pusat.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.
Verifikasi jenis log yang didukung parser Chronicle. Tabel berikut mencantumkan produk dan jalur file log yang didukung parser Chronicle:
Sistem operasi Produk Jalur file log Microsoft Windows Microsoft Windows Log peristiwa Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/service.log Linux Musik Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Mengonfigurasi Forwarder dan agregator Fluentd, serta penerusan Chronicle
Untuk memantau log yang dihasilkan sistem Linux, buat file
td-agent.confuntuk menentukan konfigurasi pemantauan log untuk forwarder Fluentd. Berikut ini contoh file konfigurasi untuk forwarder Fluentd di sistem Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Untuk memantau log yang dihasilkan sistem Microsoft Windows, buat file
td-agent.confuntuk menentukan konfigurasi pemantauan log untuk forwarder Fluentd. Berikut ini contoh file konfigurasi untuk Forwarder Fluentd di sistem Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Untuk meneruskan log dari agregator Fluentd ke penerusan Chronicle, buat file konfigurasi dalam format berikut:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Konfigurasikan penerusan Chronicle untuk mengirim log ke Chronicle. Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi penerusan Chronicle:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser menerapkan pola grok untuk sistem Linux dan Microsoft Windows, serta memetakan kolom log Fluentd ke kolom Chronicle Unified Data Model (UDM) untuk setiap jenis log.
Untuk informasi tentang referensi pemetaan kolom umum, lihat Kolom umum
Untuk mengetahui informasi referensi tentang jalur log, pola grok misalnya log, jenis peristiwa, dan kolom UDM pada sistem Linux, lihat bagian berikut:
Untuk mengetahui informasi tentang peristiwa Microsoft Windows yang didukung dan kolom UDM yang sesuai, lihat Data peristiwa Microsoft Windows
Kolom umum
Tabel berikut mencantumkan kolom log umum dan kolom UDM yang sesuai.
| Kolom log umum | Kolom UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.nama host atau induk.nama host |
| inner_message.path | event_source |
Sistem Linux
Tabel berikut mencantumkan jalur log untuk sistem Linux, pola grok untuk log contoh, jenis peristiwa, dan pemetaan UDM:
| Jalur log | Log contoh | Pola Grok | Jenis peristiwa | Pemetaan UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Kamis, 28 April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] gagal membuat koneksi | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Kamis 28 April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] gagal membuat koneksi | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid error_message dipetakan ke security_result.description network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Kamis, 28 April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target.platform disetel ke "LINUX" perujuk_url dipetakan ke network.http.referral_url |
| /var/log/apache2/error.log | [Min 30 Jan 15.14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: failed to make backend | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target_ip dipetakan ke target.ip perujuk_url dipetakan ke network.http.referral_url network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 Feb 00:30:55 2019] Koneksi baru: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port connection_id dipetakan ke network.session_id network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 Feb 00:30:55 2019] Permintaan baru: [koneksi: j8BjX4Z5tjk] [permintaan: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp request_id dipetakan ke security_result.detection_fields.(kunci/nilai) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: AH00128: | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_level dipetakan ke security_result.severity request_id dipetakan ke security_result.detection_fields.(kunci/nilai) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id error_message dipetakan ke security_result.description file_path dipetakan ke target.file.full_path network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36) AppleWebKit/537.36 | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.nama host stempel waktu dipetakan ke metadata.event_timestamp dipetakan ke network.http.method resource dipetakan ke principal.resource.name client_protocol dipetakan ke network.application_protocol result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host dipetakan ke target.nama host
target_port dipetakan ke target.port client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.nama host stempel waktu dipetakan ke metadata.event_timestamp dipetakan ke network.http.method resource dipetakan ke principal.resource.name result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" network.application_protocol diatur ke "HTTP" |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid dipetakan ke network.http.method jalur dipetakan ke target.url result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" network.application_protocol diatur ke "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | jalur dipetakan ke target.url perujuk_url dipetakan ke network.http.referral_url network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent dipetakan ke network.http.user_agent network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/Mei/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" " | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | waktu dipetakan ke metadata.timestamp ip dipetakan ke target.ip principal_ip dipetakan ke principal.ip Principal_user_userid dipetakan ke principal.user.userid metadata_timestamp dipetakan ke stempel waktu http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protokol dipetakan ke network.application_protocol = (HTTP) response_code dipetakan ke network.http.response_code menerima_byte dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
| var/log/nginx/error.log | 29/01/2022 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" gagal (2: Tidak ada file atau direktori tersebut), klien: 192.0.2.1, server: localhost, permintaan: \"_GET /nginx.80 | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 dipetakan ke "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_nama host}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id dipetakan ke principal.process.pid tingkat keparahan dipetakan ke security_result.severity (debug dipetakan ke UNKNOWN_SEVERITY, info dipetakan ke INFORMASI, pemberitahuan dipetakan ke RENDAH, peringatan dipetakan ke MEDIUM, error dipetakan ke ERROR, kritik dipetakan ke CRITIS, peringatan dipetakan ke TINGGI) target_file_full_path dipetakan ke target.file.full_path principal_ip dipetakan ke principal.ip target_nama host dipetakan ke target.nama host http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protokol dipetakan ke "TCP" target_ip dipetakan ke target.ip target_port dipetakan ke target.port security_description + security_result_description_2 dipetakan ke security_result.description pid dipetakan ke principal.process.parent_process.pid network.application_protocol diatur ke "HTTP" stempel waktu dipetakan ke {year}/{day}/{month} {time} target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Pemeriksaan perintah yang diperlukan gagal | [<message_text>]{security_description} | INFO TERBARU STATUS | waktu dipetakan ke metadata.timestamp security_description dipetakan ke security_result.description Principal.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name disetel ke "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Memeriksa file '/dev/.oz/.nap/rkit/terror' [ Tidak ditemukan ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description dipetakan ke metadata.description
file_path dipetakan ke target.file.full_path security_description dipetakan ke security_result.description Principal.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name disetel ke "RootKit Hunter" |
| var/log/rkhunter.log | fluentd: Ukuran file diperkecil (inode tetap): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | waktu dipetakan ke metadata.timestamp metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path Principal.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name disetel ke "RootKit Hunter" |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: mendaftar dengan nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | INFO TERBARU STATUS | stempel waktu dipetakan ke "metadata.event_timestamp" principal_host dipetakan ke "principal.nama host" metadata_product_event_type dipetakan ke "metadata.product_event_type" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" Principal.platform disetel ke "LINUX" |
| /var/log/kern.log | Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_host dipetakan ke "principal.nama host" metadata_product_event_type dipetakan ke "metadata.product_event_type" Principal_asset_hardware_cpu_model dipetakan ke "principal.asset.hardware.cpu_model" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" Principal.platform disetel ke "LINUX" cpu_model dipetakan ke principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 24 Mei 10:30:42 Ubuntu18 systemd[1]: Memulai Sesi 112 pengguna kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" Principal.platform disetel ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | Jul 06 10:14:37 Ubuntu18 rsyslogd: userid rsyslogd diubah menjadi 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time dipetakan ke metadata.collected_timestamp nama host dipetakan ke principal.nama host pesan dipetakan ke metadata.description user_id dipetakan ke principal.user.userid command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" Principal.platform disetel ke "LINUX" |
| /var/log/syslog.log | Jul 06 10:36:48 Ubuntu18 systemd [1]: Memulai Layanan Pencatatan Sistem... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" Principal.platform disetel ke "LINUX" command_line dipetakan ke principal.process.command_line |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.198. | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_Hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity local_ip dipetakan ke principal.ip target_ip dipetakan ke target.ip target_nama host dipetakan ke principal.nama host port dipetakan ke target.port pengguna dipetakan ke principal.user.user_display_name metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] KELUAR: '2022-04-28 16:14:13 versi library: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | INFO TERBARU STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] KELUAR: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" pesan dipetakan ke (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
INFO TERBARU STATUS | Principal.platform disetel ke "LINUX" target_ip dipetakan ke target.ip target_port dipetakan ke target.port tingkat keparahan dipetakan ke security_result.severity stempel waktu dipetakan ke metadata.timestamp metadata.vendor_name ditetapkan ke OpenVPN metadata.product_name disetel ke OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] AF_10.10AF10.10\ | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") pesan dipetakan ke <message_text>dengan[<message_text>]<message_text>:{port}<message_text> |
INFO TERBARU STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity metadata.vendor_name ditetapkan ke OpenVPN metadata.product_name disetel ke OpenVPN Access Server Principal.platform disetel ke Linux target_ip dipetakan ke target.ip target_port dipetakan ke target.port target_nama host dipetakan ke target.nama host perantara_ip dipetakan ke middle.ip |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530. | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | INFO TERBARU STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke metadata.description pengguna dipetakan ke target.nama host ip dipetakan ke target.ip port dipetakan ke taregt.port metadata.vendor_name ditetapkan ke OpenVPN metadata.product_name disetel ke OpenVPN Access Server Principal.platform disetel ke Linux |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | INFO TERBARU STATUS | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description Summary dipetakan ke security_result.summary user_name dipetakan ke principal.user.user_display_name cli dipetakan ke principal.process.command_line status dipetakan ke principal.user.user_authentication_status metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Mengakses kunci konfigurasi '[filterNames]' melalui notasi titik tidak digunakan lagi, dan akan dihapus dalam rilis mendatang. Sebagai gantinya, gunakan 'config.getProperty(key, targetClass)'. | [{timestamp}]{keparahan}{summary}\-{security_description}
, di {command_line}\({file_path}:<message_text>\) |
INFO TERBARU STATUS | command_line dipetakan ke "target.process.command_line"
file_path dipetakan ke "target.process.file.full_path" stempel waktu dipetakan ke "metadata.event_timestamp" tingkat keparahan dipetakan ke "security_result.severity" Summary dipetakan ke "security_result.summary" security_description dipetakan ke "security_result.description" metadata.product_name ditetapkan ke "FLUENTD" metadata.vendor_name ditetapkan ke "FLUENTD" |
| /var/log/auth.log | 4 Jul 19:26:19 Ubuntu18 systemd-logind[982]: Dihapus sesi 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | stempel waktu dipetakan ke "metadata.timestamp" principal_host dipetakan ke target.Hostname jika nilainya adalah "USER_LOGOUT", jika tidak, nilai dipetakan ke principal.Hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, dipetakan ke target.user.userid. "Principal.platform" disetel ke "LINUX" Jika peristiwa security_description adalah Sesi yang dihapus, event_type ditetapkan ke USER_LOGOUT. extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/auth.log | 27 Jun 11:07:17 Ubuntu18 systemd-logind[804]: Sesi baru 564 dari root pengguna. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" principal_host dipetakan ke target.Hostname jika nilainya adalah "USER_LOGOUT", jika tidak, nilai dipetakan ke principal.Hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, dipetakan ke target.user.userid. "Principal.platform" disetel ke "LINUX" "network.application_protocol" dipetakan ke "SSH" if(new_session) event_type ditetapkan ke USER_LOGIN extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/auth.log | 27 Juni 11:07:17 Ubuntu18 sshd [9349]: Kata sandi yang diterima untuk root dari port 198.51.100.1 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" principal_host dipetakan ke target.Hostname jika nilainya adalah "USER_LOGOUT", jika tidak, nilai dipetakan ke principal.Hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, dipetakan ke target.user.userid. principal_ip dipetakan ke "principal.ip" Principal_port dipetakan ke "principal.port" security_result_detection_fields_ssh_kv dipetakan ke "security_result.detection_fields.key/value" security_result_detection_fields_kv dipetakan ke "security_result.detection_fields.key/value" "Principal.platform" disetel ke "LINUX" "network.application_protocol" disetel ke "SSH" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/auth.log | 28 April 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5; PWD=/ ; USER=root; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | INFO TERBARU STATUS | stempel waktu dipetakan ke metadata.timestamp principal_Hostname dipetakan ke principal.Hostname principal_application dipetakan ke principal.application pid dipetakan ke principal.process.pid principal_user_userid dipetakan ke target.user.userid security_description dipetakan ke "security_result.description" Principal_process_command_line_1 dipetakan ke "principal.process.command_line" Principal_process_command_line_2 dipetakan ke "principal.process.command_line" principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "Principal.platform" disetel ke "LINUX" |
| /var/log/auth.log | Jul 4 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sesi dibuka untuk root pengguna oleh (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | stempel waktu dipetakan ke metadata.timestamp principal_host dipetakan ke target.Hostname jika nilainya adalah "USER_LOGOUT", jika tidak, nilai dipetakan ke principal.Hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, dipetakan ke target.user.userid. principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "Principal.platform" disetel ke "LINUX" "network.application_protocol" disetel ke "SSH" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/auth.log | 4 Jul 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sesi ditutup untuk root pengguna | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | stempel waktu dipetakan ke metadata.timestamp principal_host dipetakan ke target.Hostname jika nilainya adalah "USER_LOGOUT", jika tidak, nilai dipetakan ke principal.Hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke principal.process.pid. security_description dipetakan ke "security_result.description" principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, dipetakan ke target.user.userid. principal_user_attribute_labels_uid_kv dipetakan ke principal.user.attribute.labels.key/value "Principal.platform" disetel ke "LINUX" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/auth.log | 30 Juni 11:32:26 Ubuntu18 sshd [29425]: Connection reset dengan mengautentikasi user root 198.51.100.1 port 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | stempel waktu dipetakan ke metadata.timestamp principal_host dipetakan ke target.Hostname jika nilainya adalah "USER_LOGOUT", jika tidak, nilai dipetakan ke principal.Hostname principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke "principal.application" pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak dipetakan ke principal.process.pid. security_description dipetakan ke security_result.description security_summary dipetakan ke security_result.summary principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, dipetakan ke target.user.userid. target_ip dipetakan ke target.ip target_port dipetakan ke target.port" Principal.platform" disetel ke "LINUX" metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| var/log/samba/log.winbindd | [05/05/2022 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: menghapus cache dan membuat ulang dengan nomor versi 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | INFO TERBARU STATUS | stempel waktu dipetakan ke "metadata.timestamp" pid dipetakan ke "principal.process.pid" principal_user_attribute_labels_kv dipetakan ke "principal.user.attribute.labels" principal_group_attribute_labels_kv dipetakan ke "principal.group.attribute.labels" Principal_user_userid dipetakan ke "principal.user.userid" Principal_group_product_object_id dipetakan ke "principal.group.product_object_id" security_description dipetakan ke "security_result.description" metadata_description dipetakan ke "metadata.description" metadata.product_name" disetel ke "FLUENTD" metadata.vendor_name" ditetapkan ke "FLUENTD" |
| var/log/samba/log.winbindd | messaging_dgm_init: gagal mengikat: Tidak ada ruang tersisa di perangkat | {user_id}: {desc} | INFO TERBARU STATUS | metadata.product_name" disetel ke "FLUENTD" metadata.vendor_name" ditetapkan ke "FLUENTD" user_id dipetakan ke principal.user.userid desc dipetakan ke metadata.description |
| /var/log/mail.log | 16 Juli 11:40:56 Ubuntu18 sendmail [9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.20G6AtwH | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | INFO TERBARU STATUS | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/mail.log | 7 Juli 13:44:01 prod postfix/pickup [22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/mail.log | 7 Juli 13:44:01 prod postfix/pembersihan [23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server. | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | INFO TERBARU STATUS | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid resource_name dipetakan ke target.resource.name metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/mail.log | 7 Juli 13:44:01 prod postfix/qmgr [3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/mail.log | 7 Juli 13:44:01 prod postfix/smtp[23436]: sambungkan ke gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Jaringan tidak dapat dijangkau | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | INFO TERBARU STATUS | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
| /var/log/mail.log | 7 Juli 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server. | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "FLUENTD" metadata.product_name ditetapkan ke "FLUENTD" |
Audit
Kolom log audit ke kolom UDM
Tabel berikut mencantumkan kolom log jenis log audit dan kolom UDM yang sesuai.
| Kolom log | Kolom UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| Auid | target.user.userid |
| grup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| data | about.labels.key/value |
| Devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| Egi | target.group.product_object_id |
| EUID | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| keluarga | network.ip_protocol disetel ke "IP6IN4" jika "ip_protocol" == 2 lagi yang disetel ke "UNKNOWN_IP_PROTOCOL" |
| jenis file | target.file.mime_type |
| {i>fsgid<i} | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| {i>icmptype<i} | network.ip_protocol disetel ke "ICMP" |
| id | Jika [audit_log_type] == "ADD_USER", target.user.userid ditetapkan ke "%{id}"
Jika [audit_log_type] == "ADD_GROUP", target.group.product_object_id ditetapkan ke "%{id}" else target.user.attribute.labels.key/value ditetapkan ke id |
| {i>inode<i} | target.resource.product_object_id |
| kunci | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| {i>new-vcpu<i} | target.resource.attribute.labels.key/value |
| bersih-baru | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| opid | target.process.pid |
| Oses | network.session_id |
| Ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| Ouid | target.user.userid |
| jalur | target.file.full_path |
| Perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Jika [ip_protocol] == 2, network.ip_protocol diatur ke "IP6IN4"
else network.ip_protocol disetel ke "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| hasil | security_result.summary |
| sedih | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| Sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| berhasil | Jika berhasil=='yes', security_result.summary ditetapkan ke 'system call was successfully' else security_result.summary disetel ke 'systemcall was failed' |
| Suid | target.user.userid |
| {i>syscall<i} | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Jika [audit_log_type] di [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_MAC, Principal.
else uid diatur ke target.user.userid |
| vm | target.resource.name |
Jenis log audit ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log audit dan jenis peristiwa UDM yang sesuai.
| Jenis log audit | Jenis peristiwa UDM | Deskripsi |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Dipicu saat grup ruang pengguna ditambahkan. |
| ADD_USER | USER_CREATION | Dipicu saat akun pengguna ruang pengguna ditambahkan. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Dipicu saat proses berakhir secara tidak normal (dengan sinyal yang dapat menyebabkan dump core, jika diaktifkan). |
| AVC | GENERIC_EVENT | Dipicu untuk merekam pemeriksaan izin SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat konfigurasi sistem Audit diubah. |
| CRED_ACQ | USER_LOGIN | Dipicu saat pengguna memperoleh kredensial ruang pengguna. |
| CRED_DISP | USER_LOGOUT | Dipicu saat pengguna membuang kredensial ruang pengguna. |
| CRED_REFR | USER_LOGIN | Dipicu saat pengguna memperbarui kredensial ruang pengguna mereka. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Dipicu untuk merekam ID kunci kriptografis yang digunakan untuk tujuan kriptografi. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Dipicu untuk merekam parameter yang ditetapkan selama pembuatan sesi TLS. |
| CDW | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam direktori kerja saat ini. |
| DAEMON_ABORT | PROCESS_TERMINATION | Dipicu saat daemon dihentikan karena terjadi error. |
| DAEMON_END | PROCESS_TERMINATION | Dipicu saat daemon berhasil dihentikan. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Dipicu saat daemon yang diaudit melanjutkan logging. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Dipicu saat daemon audit merotasi file log Audit. |
| DAEMON_START | PROCESS_LAUNCH | Dipicu saat daemon yang diaudit dimulai. |
| DEL_GROUP | GROUP_DELETION | Dipicu saat grup ruang pengguna dihapus |
| Dalam proses | USER_DELETION | Dipicu saat pengguna ruang pengguna dihapus |
| EXECVE | PROCESS_LAUNCH | Dipicu untuk merekam argumen panggilan sistem execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Dipicu saat nilai Boolean SELinux diubah. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam informasi tentang peristiwa IPSec, saat peristiwa tersebut terdeteksi, atau ketika konfigurasi IPSec berubah. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Dipicu saat file kebijakan SELinux dimuat. |
| MAC_STATUS | GENERIC_EVENT | Dipicu saat mode SELinux (berlaku, permisif, nonaktif) diubah. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu saat label statis ditambahkan saat menggunakan kemampuan pelabelan paket dari kernel yang disediakan oleh NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Dipicu saat modifikasi rantai Netfilter terdeteksi. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam informasi tentang proses tujuan pengiriman sinyal. |
| PATH | FILE_OPEN/GENERIC_EVENT | Dipicu untuk merekam informasi jalur nama file. |
| SELINUX_ERR | GENERIC_EVENT | Dipicu saat error SELinux internal terdeteksi. |
| SERVICE_START | SERVICE_START | Dipicu saat layanan dimulai. |
| SERVICE_STOP | SERVICE_STOP | Dipicu saat layanan dihentikan. |
| SYSCALL | GENERIC_EVENT | Dipicu untuk merekam panggilan sistem ke kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Dipicu saat sistem melakukan booting. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Dipicu saat tingkat pengoperasian sistem berubah. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Dipicu saat sistem dimatikan. |
| USER_ACCT | SETTING_MODIFICATION | Dipicu saat akun pengguna ruang pengguna diubah. |
| USER_AUTH | USER_LOGIN | Dipicu saat upaya autentikasi ruang pengguna terdeteksi. |
| USER_AVC | USER_UNCATEGORIZED | Dipicu saat pesan AVC ruang pengguna dibuat. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat atribut akun pengguna diubah. |
| USER_CMD | USER_COMMUNICATION | Dipicu saat perintah shell user-space dijalankan. |
| USER_END | USER_LOGOUT | Dipicu saat sesi ruang pengguna dihentikan. |
| USER_ERR | USER_UNCATEGORIZED | Dipicu saat error status akun pengguna terdeteksi. |
| USER_LOGIN | USER_LOGIN | Dipicu saat pengguna login. |
| USER_LOGOUT | USER_LOGOUT | Dipicu saat pengguna logout. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Dipicu saat daemon user-space memuat kebijakan SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Dipicu untuk merekam data pengelolaan ruang pengguna. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Dipicu saat peran SELinux pengguna berubah. |
| USER_START | USER_LOGIN | Dipicu saat sesi ruang pengguna dimulai. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat perubahan konfigurasi sistem ruang pengguna terdeteksi. |
| VIRT_CONTROL | STATUS_UPDATE | Dipicu saat virtual machine dimulai, dijeda, atau dihentikan. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Dipicu untuk merekam binding label ke virtual machine. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Dipicu untuk merekam penetapan resource virtual machine. |
Kolom log email ke kolom UDM
Tabel berikut mencantumkan kolom log jenis log email dan kolom UDM yang sesuai.
| Kolom log | Kolom UDM |
|---|---|
| Class | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Dari | network.email.from |
| psgid | network.email.mail_id |
| Proto | network.application_protocol |
| Relai | intermediary.hostname
intermediary.ip |
| Ukuran | network.received_bytes |
| Statistik | security_result.summary |
| pada | network.email.to |
Jenis log email ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log email dan jenis peristiwa UDM yang sesuai.
| Jenis log email | Jenis peristiwa UDM |
|---|---|
| sendmail | INFO TERBARU STATUS |
| pengambilan | EMAIL_UNCATEGORIZED |
| pembersihan | INFO TERBARU STATUS |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | INFO TERBARU STATUS |
| lokal | EMAIL_UNCATEGORIZED |