Mengumpulkan log Fluentd

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Fluentd dengan mengonfigurasi Fluentd dan forwarder Google Security Operations. Dokumen ini juga mencantumkan jenis log yang didukung dan versi Fluentd yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Ringkasan

Diagram arsitektur deployment berikut menunjukkan cara Fluentd diinstal di server forwarder dan server agregator untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.

Arsitektur deployment

Diagram arsitektur menampilkan komponen berikut:

  • Sistem Linux. Sistem Linux yang akan dipantau. Sistem Linux terdiri dari file yang akan dipantau dan server penerusan Fluentd.

  • Sistem Microsoft Windows. Sistem Microsoft Windows yang akan dipantau tempat server forwarder Fluentd diinstal.

  • Penerus Fluentd. Pengirim Fluentd mengumpulkan informasi dari sistem Microsoft Windows atau Linux dan meneruskan informasi tersebut ke agregator Fluentd.

  • Aggregator Fluentd. Agregator Fluentd menerima log dari forwarder Fluentd dan meneruskan log ke forwarder Google Security Operations.

  • Penerus Google Security Operations. Pengirim Google Security Operations adalah komponen software ringan, yang di-deploy di jaringan pelanggan, yang mendukung syslog. Pengirim Google Security Operations meneruskan log ke Google Security Operations.

  • Google Security Operations. Google Security Operations menyimpan dan menganalisis log dari agregator Fluentd.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer FLUENTD.

Sebelum memulai

  • Pastikan forwarder Fluentd diinstal di sistem Microsoft Windows atau Linux yang Anda rencanakan untuk dipantau. Untuk informasi selengkapnya tentang cara menginstal forwarder Fluentd, lihat Penginstalan Fluentd

  • Gunakan versi Fluentd yang didukung parser Google Security Operations. Parser Operasi Keamanan Google mendukung Fluentd versi 1.0.

  • Pastikan agregator Fluentd diinstal dan dikonfigurasi di server Linux pusat.

  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi di zona waktu UTC.

  • Verifikasi jenis log yang didukung parser Google Security Operations. Tabel berikut mencantumkan produk dan jalur file log yang didukung parser Google Security Operations:

    Sistem operasi Produk Jalur file log
    Microsoft Windows Microsoft Windows Log aktivitas
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Mengonfigurasi penerusan dan agregator Fluentd, serta penerusan Google Security Operations

  1. Untuk memantau log yang dihasilkan sistem Linux, buat file td-agent.conf untuk menentukan konfigurasi pemantauan log untuk forwarder Fluentd. Berikut adalah contoh file konfigurasi untuk forwarder Fluentd di sistem Linux:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. Untuk memantau log yang dihasilkan sistem Microsoft Windows, buat file td-agent.conf untuk menentukan konfigurasi pemantauan log untuk forwarder Fluentd. Berikut adalah contoh file konfigurasi untuk forwarder Fluentd di sistem Microsoft Windows:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. Untuk meneruskan log dari agregator Fluentd ke penerusan Google Security Operations, buat file konfigurasi dalam format berikut:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. Konfigurasikan penerusan Google Security Operations untuk mengirim log ke Google Security Operations. Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi forwarder Google Security Operations:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

Referensi pemetaan kolom

Bagian ini menjelaskan cara parser menerapkan pola grok untuk sistem Linux dan Microsoft Windows serta cara memetakan kolom log Fluentd ke kolom Unified Data Model (UDM) Google Security Operations untuk setiap jenis log.

Untuk informasi tentang referensi pemetaan kolom umum, lihat Kolom umum

Untuk informasi referensi tentang jalur log, pola grok untuk contoh log, jenis peristiwa, dan kolom UDM di sistem Linux, lihat bagian berikut:

Untuk informasi tentang peristiwa Microsoft Windows yang didukung dan kolom UDM yang sesuai, lihat Data peristiwa Microsoft Windows

Kolom umum

Tabel berikut mencantumkan kolom log umum dan kolom UDM yang sesuai.

Kolom log umum Kolom UDM
collected_time metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname atau principal.hostname
inner_message.path event_source

Sistem Linux

Tabel berikut mencantumkan jalur log untuk sistem Linux, pola grok untuk contoh log, jenis peristiwa, dan pemetaan UDM:

Jalur log Contoh log Pola Grok Jenis peristiwa Pemetaan UDM
/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

stempel waktu dipetakan ke metadata.event_timestamp

log_module dipetakan ke target.resource.name

log_level dipetakan ke security_result.severity

pid dipetakan ke target.process.parent_process.pid

tid dipetakan ke target.process.pid

client_ip dipetakan ke principal.ip

client_port dipetakan ke principal.port

error_message dipetakan ke security_result.description

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

stempel waktu dipetakan ke metadata.event_timestamp

log_module dipetakan ke target.resource.name

log_level dipetakan ke security_result.severity

pid dipetakan ke target.process.parent_process.pid

tid dipetakan ke target.process.pid

error_message dipetakan ke security_result.description

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

stempel waktu dipetakan ke metadata.event_timestamp

log_module dipetakan ke target.resource.name

log_level dipetakan ke security_result.severity

pid dipetakan ke target.process.parent_process.pid

tid dipetakan ke target.process.pid

client_ip dipetakan ke principal.ip

client_port dipetakan ke principal.port

error_message dipetakan ke security_result.description

target.platform ditetapkan ke "LINUX"

referer_url dipetakan ke network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

stempel waktu dipetakan ke metadata.event_timestamp

log_module dipetakan ke target.resource.name

log_level dipetakan ke security_result.severity

pid dipetakan ke target.process.parent_process.pid

tid dipetakan ke target.process.pid

client_ip dipetakan ke principal.ip

client_port dipetakan ke principal.port

error_message dipetakan ke security_result.description

target_ip dipetakan ke target.ip

referer_url dipetakan ke network.http.referral_url

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

stempel waktu dipetakan ke metadata.event_timestamp

client_ip dipetakan ke principal.ip

client_port dipetakan ke principal.port

connection_id dipetakan ke network.session_id

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/error.log [Sabtu, 02 Februari 00.30.55 2019] Permintaan baru: [koneksi: j8BjX4Z5tjk] [permintaan: ACtkX1Z5tjk] [pid 8] [klien 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

stempel waktu dipetakan ke metadata.event_timestamp

request_id dipetakan ke security_result.detection_fields.(key/value)

client_ip dipetakan ke principal.ip

client_port dipetakan ke principal.port

pid dipetakan ke target.process.parent_process.pid

connection_id dipetakan ke network.session_id

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

stempel waktu dipetakan ke metadata.event_timestamp

log_level dipetakan ke security_result.severity

request_id dipetakan ke security_result.detection_fields.(key/value)

client_ip dipetakan ke principal.ip

client_port dipetakan ke principal.port

pid dipetakan ke target.process.parent_process.pid

connection_id dipetakan ke network.session_id

error_message dipetakan ke security_result.description

file_path dipetakan ke target.file.full_path

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip dipetakan ke principal.ip

userid dipetakan ke principal.user.userid

host dipetakan ke principal.hostname

stempel waktu dipetakan ke metadata.event_timestamp

metode dipetakan ke network.http.method

resource dipetakan ke principal.resource.name

client_protocol dipetakan ke network.application_protocol

result_status dipetakan ke network.http.response_code

object_size dipetakan ke network.sent_bytes

referer_url dipetakan ke network.http.referral_url

user_agent dipetakan ke network.http.user_agent

network.ip_protocol ditetapkan ke "TCP"

network.direction ditetapkan ke "OUTBOUND"

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP target_host dipetakan ke target.hostname

target_port dipetakan ke target.port

client_ip dipetakan ke principal.ip

userid dipetakan ke principal.user.userid

host dipetakan ke principal.hostname

stempel waktu dipetakan ke metadata.event_timestamp

metode dipetakan ke network.http.method

resource dipetakan ke principal.resource.name

result_status dipetakan ke network.http.response_code

object_size dipetakan ke network.sent_bytes

referer_url dipetakan ke network.http.referral_url

user_agent dipetakan ke network.http.user_agent

network.ip_protocol ditetapkan ke "TCP"

network.direction ditetapkan ke "OUTBOUND"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

network.application_protocol ditetapkan ke "HTTP"

var/log/apache2/novnc-server-access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

client_ip dipetakan ke principal.ip

userid dipetakan ke principal.user.userid

metode dipetakan ke network.http.method

path dipetakan ke target.url

result_status dipetakan ke network.http.response_code

object_size dipetakan ke network.sent_bytes

referer_url dipetakan ke network.http.referral_url

user_agent dipetakan ke network.http.user_agent

network.ip_protocol ditetapkan ke "TCP"

network.direction ditetapkan ke "OUTBOUND"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

network.application_protocol ditetapkan ke "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

path dipetakan ke target.url

referer_url dipetakan ke network.http.referral_url

network.direction ditetapkan ke "OUTBOUND"

target.platform ditetapkan ke "LINUX"

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent dipetakan ke network.http.user_agent

network.direction ditetapkan ke "OUTBOUND"

target.platform ditetapkan ke "LINUX"

network.application_protocol ditetapkan ke "HTTP"

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "Apache"

metadata.product_name ditetapkan ke "Apache HTTP Server"

var/log/nginx/access.log 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

time dipetakan ke metadata.timestamp

ip dipetakan ke target.ip

principal_ip dipetakan ke principal.ip

principal_user_userid dipetakan ke principal.user.userid

metadata_timestamp dipetakan ke stempel waktu

http_method dipetakan ke network.http.method

resource_name dipetakan ke principal.resource.name

protocol dipetakan ke network.application_protocol = (HTTP)

response_code dipetakan ke network.http.response_code

received_bytes dipetakan ke network.sent_bytes

referer_url dipetakan ke network.http.referral_url

user_agent dipetakan ke network.http.user_agent

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "NGINX"

metadata.product_name ditetapkan ke "NGINX"

network.ip_protocol ditetapkan ke "TCP"

network.direction ditetapkan ke "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 dipetakan ke "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() ke ({target_ip}|[{target_ip}]):{target_port} gagal ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

NETWORK_HTTP

thread_id dipetakan ke principal.process.pid

severity dipetakan ke security_result.severity

(debug dipetakan ke UNKNOWN_SEVERITY, info dipetakan ke INFORMATIONAL, pemberitahuan dipetakan ke LOW, peringatan dipetakan ke MEDIUM, error dipetakan ke ERROR, crit dipetakan ke CRITICAL, pemberitahuan dipetakan ke HIGH)

target_file_full_path dipetakan ke target.file.full_path

principal_ip dipetakan ke principal.ip

target_hostname dipetakan ke target.hostname

http_method dipetakan ke network.http.method

resource_name dipetakan ke principal.resource.name

protokol dipetakan ke "TCP"

target_ip dipetakan ke target.ip

target_port dipetakan ke target.port

security_description + security_result_description_2 dipetakan ke security_result.description

pid dipetakan ke principal.process.parent_process.pid

network.application_protocol ditetapkan ke "HTTP"

stempel waktu dipetakan ke {year}/{day}/{month} {time}

target.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "NGINX"

metadata.product_name ditetapkan ke "NGINX"

network.ip_protocol ditetapkan ke "TCP"

network.direction ditetapkan ke "OUTBOUND"

var/log/rkhunter.log [14:10:40] Pemeriksaan perintah yang diperlukan gagal [<message_text>]{security_description} UPDATE STATUS

time dipetakan ke metadata.timestamp

security_description dipetakan ke security_result.description

principal.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "RootKit Hunter"

metadata.product_name ditetapkan ke "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Memeriksa file '/dev/.oz/.nap/rkit/terror' [ Tidak ditemukan ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description dipetakan ke metadata.description

file_path dipetakan ke target.file.full_path

security_description dipetakan ke security_result.description

principal.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "RootKit Hunter"

metadata.product_name ditetapkan ke "RootKit Hunter"

var/log/rkhunter.log fluentd: Ukuran file dikurangi (inode tetap ada): '/var/log/rkhunter.log'. (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

time dipetakan ke metadata.timestamp

metadata_description dipetakan ke metadata.description

file_path dipetakan ke target.file.full_path

principal.platform ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "RootKit Hunter"

metadata.product_name ditetapkan ke "RootKit Hunter"

/var/log/kern.log 28 Apr 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} UPDATE STATUS

stempel waktu dipetakan ke "metadata.event_timestamp"

principal_hostname dipetakan ke "principal.hostname"

metadata_product_event_type dipetakan ke "metadata.product_event_type"

metadata_description dipetakan ke "metadata.description"

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

principal.platform ditetapkan ke "LINUX"

/var/log/kern.log 6 Jul 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE

stempel waktu dipetakan ke "metadata.event_timestamp"

principal_hostname dipetakan ke "principal.hostname"

metadata_product_event_type dipetakan ke "metadata.product_event_type"

principal_asset_hardware_cpu_model dipetakan ke "principal.asset.hardware.cpu_model"

metadata_description dipetakan ke "metadata.description"

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

principal.platform ditetapkan ke "LINUX"

cpu_model dipetakan ke principal.asset.hardware.cpu_model

/var/log/syslog.log 24 Mei 10.30.42 Ubuntu18 systemd[1]: Memulai Sesi 112 pengguna kajal. {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} STATUS_UPDATE

collected_time dipetakan ke metadata.event_timestamp

nama host dipetakan ke principal.hostname

pid dipetakan ke principal.process.pid

pesan dipetakan ke metadata.description

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

principal.platform ditetapkan ke "LINUX"

command_line dipetakan ke principal.process.command_line

/var/log/syslog.log 06-07 10:14:37 Ubuntu18 rsyslogd: userid rsyslogd diubah menjadi 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collected_time dipetakan ke metadata.collected_timestamp

nama host dipetakan ke principal.hostname

pesan dipetakan ke metadata.description

user_id dipetakan ke principal.user.userid

command_line dipetakan ke principal.process.command_line

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

principal.platform ditetapkan ke "LINUX"

/var/log/syslog.log 06 Jul 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time dipetakan ke metadata.event_timestamp

nama host dipetakan ke principal.hostname

pid dipetakan ke principal.process.pid

pesan dipetakan ke metadata.description

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

principal.platform ditetapkan ke "LINUX"

command_line dipetakan ke principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

stempel waktu dipetakan ke metadata.timestamp

log_level dipetakan ke security_result.severity

local_ip dipetakan ke principal.ip

target_ip dipetakan ke target.ip

target_hostname dipetakan ke principal.hostname

port dipetakan ke target.port

user dipetakan ke principal.user.user_display_name

metadata.vendor_name ditetapkan ke "OpenVPN"

metadata.product_name ditetapkan ke "OpenVPN Access Server"

principal.platform ditetapkan ke "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") UPDATE STATUS

stempel waktu dipetakan ke metadata.timestamp

log_level dipetakan ke security_result.severity

msg dipetakan ke security_result.description

metadata.vendor_name ditetapkan ke "OpenVPN"

metadata.product_name ditetapkan ke "OpenVPN Access Server"

principal.platform ditetapkan ke "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|"

pesan dipetakan ke (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

UPDATE STATUS

principal.platform ditetapkan ke "LINUX"

target_ip dipetakan ke target.ip

target_port dipetakan ke target.port

severity dipetakan ke security_result.severity

stempel waktu dipetakan ke metadata.timestamp

metadata.vendor_name ditetapkan ke OpenVPN

metadata.product_name ditetapkan ke OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

pesan dipetakan ke <message_text>with[<message_text>]<message_text>:{port}<message_text>

UPDATE STATUS

stempel waktu dipetakan ke metadata.timestamp

log_level dipetakan ke security_result.severity

metadata.vendor_name ditetapkan ke OpenVPN

metadata.product_name ditetapkan ke OpenVPN Access Server

principal.platform ditetapkan ke Linux

target_ip dipetakan ke target.ip

target_port dipetakan ke target.port

target_hostname dipetakan ke target.hostname

intermediary_ip dipetakan ke intermediary.ip

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") UPDATE STATUS

stempel waktu dipetakan ke metadata.timestamp

log_level dipetakan ke security_result.severity

pesan dipetakan ke metadata.description

pengguna dipetakan ke target.hostname

ip dipetakan ke target.ip

port dipetakan ke taregt.port

metadata.vendor_name ditetapkan ke OpenVPN

metadata.product_name ditetapkan ke OpenVPN Access Server

principal.platform ditetapkan ke Linux

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' UPDATE STATUS

stempel waktu dipetakan ke metadata.timestamp

log_level dipetakan ke security_result.severity

pesan dipetakan ke security_result.description

ringkasan dipetakan ke security_result.summary

user_name dipetakan ke principal.user.user_display_name

cli dipetakan ke principal.process.command_line

status dipetakan ke principal.user.user_authentication_status

metadata.vendor_name ditetapkan ke "OpenVPN"

metadata.product_name ditetapkan ke "OpenVPN Access Server"

principal.platform ditetapkan ke "LINUX"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - Mengakses kunci konfigurasi '[filterNames]' melalui notasi titik tidak digunakan lagi, dan akan dihapus dalam rilis mendatang. Sebagai gantinya, gunakan 'config.getProperty(key, targetClass)'. [{timestamp}]{severity}{summary}\-{security_description}

, di {command_line}\({file_path}:<message_text>\)

UPDATE STATUS command_line dipetakan ke "target.process.command_line"

file_path dipetakan ke "target.process.file.full_path"

stempel waktu dipetakan ke "metadata.event_timestamp"

severity dipetakan ke "security_result.severity"

summary dipetakan ke "security_result.summary"

security_description dipetakan ke "security_result.description"

metadata.product_name ditetapkan ke "FLUENTD"

metadata.vendor_name ditetapkan ke "FLUENTD"

/var/log/auth.log 4 Jul 19:26:19 Ubuntu18 systemd-logind[982]: Menghapus sesi 153. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

stempel waktu dipetakan ke "metadata.timestamp"

principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname

principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application"

pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid.

security_description dipetakan ke "security_result.description"

network_session_id dipetakan ke "network.session_id"

principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid.

"principal.platform" ditetapkan ke "LINUX"

Jika security_description peristiwa adalah Sesi dihapus, event_type akan ditetapkan ke USER_LOGOUT.

extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/auth.log 27 Jun 11:07:17 Ubuntu18 systemd-logind[804]: Sesi baru 564 dari root pengguna. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

stempel waktu dipetakan ke "metadata.timestamp"

principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname

principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application"

pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid.

security_description dipetakan ke "security_result.description"

network_session_id dipetakan ke "network.session_id"

principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid.

"principal.platform" ditetapkan ke "LINUX"

"network.application_protocol" dipetakan ke "SSH"

if(new_session) event_type ditetapkan ke USER_LOGIN

extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/auth.log Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? USER_LOGIN

stempel waktu dipetakan ke "metadata.timestamp"

principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname

principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application"

pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid.

security_description dipetakan ke "security_result.description"

principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid.

principal_ip dipetakan ke "principal.ip"

principal_port dipetakan ke "principal.port"

security_result_detection_fields_ssh_kv dipetakan ke "security_result.detection_fields.key/value"

security_result_detection_fields_kv dipetakan ke "security_result.detection_fields.key/value"

"principal.platform" ditetapkan ke "LINUX"

"network.application_protocol" ditetapkan ke "SSH"

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/auth.log Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} UPDATE STATUS

stempel waktu dipetakan ke metadata.timestamp

principal_hostname dipetakan ke principal.hostname

principal_application dipetakan ke principal.application

pid dipetakan ke principal.process.pid

principal_user_userid dipetakan ke target.user.userid

security_description dipetakan ke "security_result.description"

principal_process_command_line_1 dipetakan ke "principal.process.command_line"

principal_process_command_line_2 dipetakan ke "principal.process.command_line"

principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value"

"principal.platform" ditetapkan ke "LINUX"

/var/log/auth.log 4 Jul 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

stempel waktu dipetakan ke metadata.timestamp

principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname

principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application"

pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid.

security_description dipetakan ke "security_result.description"

principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid.

principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value"

"principal.platform" ditetapkan ke "LINUX"

"network.application_protocol" ditetapkan ke "SSH"

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/auth.log 4 Jul 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} USER_LOGOUT

stempel waktu dipetakan ke metadata.timestamp

principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname

principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application"

pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid.

security_description dipetakan ke "security_result.description"

principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid.

principal_user_attribute_labels_uid_kv dipetakan ke principal.user.attribute.labels.key/value

"principal.platform" ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/auth.log 30 Jun 11:32:26 Ubuntu18 sshd[29425]: Koneksi direset dengan mengautentikasi root pengguna 198.51.100.1 port 52518 [preauth] {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

stempel waktu dipetakan ke metadata.timestamp

principal_hostname dipetakan ke target.hostname jika nilainya adalah "USER_LOGOUT". Jika tidak, nilai tersebut akan dipetakan ke principal.hostname

principal_application dipetakan ke target.application jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke "principal.application"

pid dipetakan ke target.process.pid jika nilainya adalah "USER_LOGOUT", jika tidak, nilai tersebut akan dipetakan ke principal.process.pid.

security_description dipetakan ke security_result.description

security_summary dipetakan ke security_result.summary

principal_user_userid dipetakan ke principal.user.userid jika nilainya adalah "USER_LOGOUT", jika tidak, akan dipetakan ke target.user.userid.

target_ip dipetakan ke target.ip

target_port dipetakan ke target.port"

principal.platform" ditetapkan ke "LINUX"

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: menghapus cache dan membuat ulang dengan nomor versi 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} UPDATE STATUS

stempel waktu dipetakan ke "metadata.timestamp"

pid dipetakan ke "principal.process.pid"

principal_user_attribute_labels_kv dipetakan ke "principal.user.attribute.labels"

principal_group_attribute_labels_kv dipetakan ke "principal.group.attribute.labels"

principal_user_userid dipetakan ke "principal.user.userid"

principal_group_product_object_id dipetakan ke "principal.group.product_object_id"

security_description dipetakan ke "security_result.description"

metadata_description dipetakan ke "metadata.description"

metadata.product_name" ditetapkan ke "FLUENTD"

metadata.vendor_name" ditetapkan ke "FLUENTD"

var/log/samba/log.winbindd messaging_dgm_init: bind failed: No space left on device {user_id}: {desc} UPDATE STATUS

metadata.product_name" ditetapkan ke "FLUENTD"

metadata.vendor_name" ditetapkan ke "FLUENTD"

user_id dipetakan ke principal.user.userid

desc dipetakan ke metadata.description

/var/log/mail.log 16 Juli 11.40.56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} UPDATE STATUS

target_hostname dipetakan ke target.hostname

application dipetakan ke target.application

pid dipetakan ke target.process.pid

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/mail.log 7 Juli 13.44.01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname dipetakan ke target.hostname

application dipetakan ke target.application

pid dipetakan ke target.process.pid

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/mail.log 7 Juli 13.44.01 postfix/cleanup produksi[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> UPDATE STATUS

target_hostname dipetakan ke target.hostname

application dipetakan ke target.application

pid dipetakan ke target.process.pid

resource_name dipetakan ke target.resource.name

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/mail.log 7 Juli 13.44.01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname dipetakan ke target.hostname

application dipetakan ke target.application

pid dipetakan ke target.process.pid

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/mail.log 7 Juli 13.44.01 postfix/smtp produksi[23436]: terhubung ke gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Jaringan tidak dapat dijangkau {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} UPDATE STATUS

target_hostname dipetakan ke target.hostname

application dipetakan ke target.application

pid dipetakan ke target.process.pid

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

/var/log/mail.log 7 Juli 13.44.02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname dipetakan ke target.hostname

application dipetakan ke target.application

pid dipetakan ke target.process.pid

metadata.vendor_name ditetapkan ke "FLUENTD"

metadata.product_name ditetapkan ke "FLUENTD"

Audit

Kolom log audit ke kolom UDM

Tabel berikut mencantumkan kolom log dari jenis log audit dan kolom UDM yang sesuai.

Kolom log Kolom UDM
akun target.user.user_display_name
addr principal.ip
arch about.labels.key/value
auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
data about.labels.key/value
devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
keluarga network.ip_protocol ditetapkan ke "IP6IN4" jika "ip_protocol" == 2, jika tidak, ditetapkan ke "UNKNOWN_IP_PROTOCOL"
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
hostname target.hostname
icmptype network.ip_protocol ditetapkan ke "ICMP"
id Jika [audit_log_type] == "ADD_USER", target.user.userid ditetapkan ke "%{id}"

Jika [audit_log_type] == "ADD_GROUP", target.group.product_object_id ditetapkan ke "%{id}"

else target.user.attribute.labels.key/value is set to id

inode target.resource.product_object_id
kunci security_result.detection_fields.key/value
list security_result.about.labels.key/value
mode target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nama target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
vcpu-baru target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid
oses network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
ouid target.user.userid
jalur target.file.full_path
perm target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Jika [ip_protocol] == 2, network.ip_protocol ditetapkan ke "IP6IN4"

else network.ip_protocol ditetapkan ke "UNKNOWN_IP_PROTOCOL"

res security_result.summary
hasil security_result.summary
saddr security_result.detection_fields.key/value
sauid target.user.attribute.labels.key/value
ses network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
berhasil Jika success=='yes', security_result.summary ditetapkan ke 'system call was successful' jika tidak, security_result.summary ditetapkan ke 'systemcall was failed'
suid target.user.userid
syscall about.labels.key/value
terminal target.labels.key/value
tty target.labels.key/value
uid Jika [audit_log_type] di [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid ditetapkan ke principal.user.userid

jika tidak, uid ditetapkan ke target.user.userid

vm target.resource.name

Jenis log audit ke jenis peristiwa UDM

Tabel berikut mencantumkan jenis log audit dan jenis peristiwa UDM yang sesuai.

Jenis log audit Jenis peristiwa UDM Deskripsi
ADD_GROUP GROUP_CREATION Dipicu saat grup ruang pengguna ditambahkan.
ADD_USER USER_CREATION Dipicu saat akun pengguna ruang pengguna ditambahkan.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Dipicu saat proses berakhir secara tidak normal (dengan sinyal yang dapat menyebabkan core dump, jika diaktifkan).
AVC GENERIC_EVENT Dipicu untuk merekam pemeriksaan izin SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Dipicu saat konfigurasi sistem Audit diubah.
CRED_ACQ USER_LOGIN Dipicu saat pengguna memperoleh kredensial ruang pengguna.
CRED_DISP USER_LOGOUT Dipicu saat pengguna membuang kredensial ruang pengguna.
CRED_REFR USER_LOGIN Dipicu saat pengguna memuat ulang kredensial ruang pengguna mereka.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Dipicu untuk mencatat ID kunci kriptografis yang digunakan untuk tujuan kriptografis.
CRYPTO_SESSION PROCESS_TERMINATION Dipicu untuk merekam parameter yang ditetapkan selama pembuatan sesi TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Dipicu untuk merekam direktori kerja saat ini.
DAEMON_ABORT PROCESS_TERMINATION Dipicu saat daemon dihentikan karena error.
DAEMON_END PROCESS_TERMINATION Dipicu saat daemon berhasil dihentikan.
DAEMON_RESUME PROCESS_UNCATEGORIZED Dipicu saat daemon auditd melanjutkan logging.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Dipicu saat daemon auditd merotasi file Log audit.
DAEMON_START PROCESS_LAUNCH Dipicu saat daemon auditd dimulai.
DEL_GROUP GROUP_DELETION Dipicu saat grup ruang pengguna dihapus
Tertunda USER_DELETION Dipicu saat pengguna ruang pengguna dihapus
EXECVE PROCESS_LAUNCH Dipicu untuk merekam argumen panggilan sistem execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Dipicu saat nilai Boolean SELinux diubah.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Dipicu untuk mencatat informasi tentang peristiwa IPSec, saat peristiwa terdeteksi, atau saat konfigurasi IPSec berubah.
MAC_POLICY_LOAD GENERIC_EVENT Dipicu saat file kebijakan SELinux dimuat.
MAC_STATUS GENERIC_EVENT Dipicu saat mode SELinux (enforcing, permissive, off) diubah.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Dipicu saat label statis ditambahkan saat menggunakan kemampuan pemberian label paket kernel yang disediakan oleh NetLabel.
NETFILTER_CFG GENERIC_EVENT Dipicu saat modifikasi rantai Netfilter terdeteksi.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Dipicu untuk merekam informasi tentang proses yang menerima sinyal.
JALUR FILE_OPEN/GENERIC_EVENT Dipicu untuk merekam informasi jalur nama file.
SELINUX_ERR GENERIC_EVENT Dipicu saat error SELinux internal terdeteksi.
SERVICE_START SERVICE_START Dipicu saat layanan dimulai.
SERVICE_STOP SERVICE_STOP Dipicu saat layanan dihentikan.
SYSCALL GENERIC_EVENT Dipicu untuk merekam panggilan sistem ke kernel.
SYSTEM_BOOT STATUS_STARTUP Dipicu saat sistem melakukan booting.
SYSTEM_RUNLEVEL STATUS_UPDATE Dipicu saat tingkat operasi sistem diubah.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Dipicu saat sistem dimatikan.
USER_ACCT SETTING_MODIFICATION Dipicu saat akun pengguna ruang pengguna diubah.
USER_AUTH USER_LOGIN Dipicu saat upaya autentikasi ruang pengguna terdeteksi.
USER_AVC USER_UNCATEGORIZED Dipicu saat pesan AVC ruang pengguna dibuat.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Dipicu saat atribut akun pengguna diubah.
USER_CMD USER_COMMUNICATION Dipicu saat perintah shell ruang pengguna dieksekusi.
USER_END USER_LOGOUT Dipicu saat sesi ruang pengguna dihentikan.
USER_ERR USER_UNCATEGORIZED Dipicu saat error status akun pengguna terdeteksi.
USER_LOGIN USER_LOGIN Dipicu saat pengguna login.
USER_LOGOUT USER_LOGOUT Dipicu saat pengguna logout.
USER_MAC_POLICY_LOAD RESOURCE_READ Dipicu saat daemon ruang pengguna memuat kebijakan SELinux.
USER_MGMT USER_UNCATEGORIZED Dipicu untuk mencatat data pengelolaan ruang pengguna.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Dipicu saat peran SELinux pengguna diubah.
USER_START USER_LOGIN Dipicu saat sesi ruang pengguna dimulai.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Dipicu saat perubahan konfigurasi sistem ruang pengguna terdeteksi.
VIRT_CONTROL STATUS_UPDATE Dipicu saat virtual machine dimulai, dijeda, atau dihentikan.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Dipicu untuk mencatat binding label ke virtual machine.
VIRT_RESOURCE USER_RESOURCE_ACCESS Dipicu untuk mencatat penetapan resource virtual machine.

Email

Kolom log email ke kolom UDM

Tabel berikut mencantumkan kolom log jenis log email dan kolom UDM yang sesuai.

Kolom log Kolom UDM
Class about.labels.key/value
Ctladdr principal.user.user_display_name
Dari network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
Relai intermediary.hostname

intermediary.ip

Ukuran network.received_bytes
Statistik security_result.summary
sampai network.email.to

Jenis log email ke jenis peristiwa UDM

Tabel berikut mencantumkan jenis log email dan jenis peristiwa UDM yang sesuai.

Jenis log email Jenis peristiwa UDM
sendmail UPDATE STATUS
pengambilan EMAIL_UNCATEGORIZED
pembersihan UPDATE STATUS
qmgr EMAIL_UNCATEGORIZED
smtp UPDATE STATUS
lokal EMAIL_UNCATEGORIZED

Langkah selanjutnya