Fluentd ログを収集する
このドキュメントでは、Fluentd と Google Security Operations フォワーダーを構成して Fluentd ログを収集する方法について説明します。このドキュメントでは、サポートされているログタイプとサポートされている Fluentd バージョンについても説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
概要
次のデプロイ アーキテクチャ図は、Fluentd をフォワーダー サーバーとアグリゲータ サーバーにインストールして、Google セキュリティ オペレーションにログを送信する方法を示しています。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
アーキテクチャ図には、次のコンポーネントが示されています。
Linux システム。モニタリング対象の Linux システム。Linux システムは、モニタリング対象のファイルと Fluentd フォワーダー サーバーで構成されています。
Microsoft Windows システム。Fluentd フォワーダー サーバーがインストールされている、モニタリング対象の Microsoft Windows システム。
Fluentd フォワーダー。Fluentd フォワーダーは、Microsoft Windows システムまたは Linux システムから情報を収集し、Fluentd アグリゲータに転送します。
Fluentd アグリゲータ。Fluentd アグリゲータは、Fluentd フォワーダーからログを受け取り、そのログを Google Security Operations フォワーダーに転送します。
Google Security Operations フォワーダー。Google セキュリティ オペレーション フォワーダーは、お客様のネットワークにデプロイされる軽量のソフトウェア コンポーネントで、syslog をサポートします。Google Security Operations フォワーダーは、ログを Google Security Operations に転送します。
Google Security OperationsGoogle Security Operations は、Fluentd アグリゲータからのログを保持して分析します。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル FLUENTD が付加されたパーサーに適用されます。
始める前に
モニタリング予定の Microsoft Windows システムまたは Linux システムに Fluentd フォワーダーがインストールされていることを確認します。Fluentd フォワーダーのインストールの詳細については、Fluentd のインストールをご覧ください。
Google Security Operations パーサーがサポートする Fluentd バージョンを使用する。Google Security Operations パーサーは Fluentd バージョン 1.0 をサポートしています。
Fluentd アグリゲータが中央の Linux サーバーにインストールされ、構成されていることを確認します。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Google Security Operations パーサーがサポートするログタイプを確認します。Google Security Operations パーサーがサポートするプロダクトとログファイルのパスを次の表に示します。
オペレーティング システム プロダクト ログ ファイルのパス Microsoft Windows Microsoft Windows イベントログ Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Fluentd フォワーダーとアグリゲータ、Google Security Operations フォワーダーを構成する
Linux システムが生成するログをモニタリングするには、
td-agent.confファイルを作成し、Fluentd フォワーダーのログ モニタリング構成を指定します。Linux システムの Fluentd フォワーダーの構成ファイルの例を次に示します。<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Microsoft Windows システムが生成するログをモニタリングするには、
td-agent.confファイルを作成し、Fluentd フォワーダーのログ モニタリング構成を指定します。Microsoft Windows システムの Fluentd フォワーダーの構成ファイルの例を次に示します。<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Fluentd アグリゲータから Google Security Operations フォワーダーにログを転送するには、次の形式で構成ファイルを作成します。
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Google Security Operations にログを送信するよう、Google Security Operations フォワーダーを構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Google Security Operations フォワーダーの構成の例を次に示します。
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
フィールド マッピング リファレンス
このセクションでは、パーサーが Linux システムおよび Microsoft Windows システムに grok パターンを適用する方法と、ログタイプごとに Fluentd ログフィールドを Google Security Operations Unified Data Model(UDM)フィールドにマッピングする方法について説明します。
共通フィールドのマッピング リファレンスについては、共通フィールドをご覧ください。
Linux システムのログパス、サンプルログの grok パターン、イベントタイプ、UDM フィールドのリファレンス情報については、以下のセクションをご覧ください。
サポートされている Microsoft Windows イベントと、対応する UDM フィールドについては、Microsoft Windows イベントデータをご覧ください。
共通フィールド
次の表に、一般的なログフィールドと対応する UDM フィールドを示します。
| 共通ログフィールド | UDM フィールド |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname または principal.hostname |
| inner_message.path | event_source |
Linux システム
次の表に、Linux システムのログパス、サンプルログの grok パターン、イベントタイプ、UDM マッピングを示します。
| ログのパス | サンプルログ | Grok パターン | イベントタイプ | UDM マッピング |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます error_message は security_result.description にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます error_message は security_result.description にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます error_message は security_result.description にマッピングされます target.platform は「LINUX」に設定されます Referer_url は network.http.referral_url にマッピングされます |
| /var/log/apache2/error.log | [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: バックエンドへの接続に失敗しました。 192.0.2.1 , referer http:// | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます error_message は security_result.description にマッピングされます target_ip は target.ip にマッピングされます Referer_url は network.http.referral_url にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます connection_id は network.session_id にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます request_id は security_result.detection_fields.(key/value) にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます pid は target.process.parent_process.pid にマッピングされます connection_id は network.session_id にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます log_level は security_result.severity にマッピングされます request_id は security_result.detection_fields.(key/value) にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます pid は target.process.parent_process.pid にマッピングされます connection_id は network.session_id にマッピングされます error_message は security_result.description にマッピングされます file_path は target.file.full_path にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip は principal.ip にマッピングされます userid は principal.user.id にマッピングされます host は principal.hostname にマッピングされます timestamp は metadata.event_timestamp にマッピングされます method は network.http.method にマッピングされます resource は principal.resource.name にマッピングされます client_protocol は network.application_protocol にマッピングされます result_status は network.http.response_code にマッピングされます object_size は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host は target.hostname にマッピングされます
target_port は target.port にマッピングされます client_ip は principal.ip にマッピングされます userid は principal.user.id にマッピングされます host は principal.hostname にマッピングされます timestamp は metadata.event_timestamp にマッピングされます method は network.http.method にマッピングされます resource は principal.resource.name にマッピングされます result_status は network.http.response_code にマッピングされます object_size は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます network.application_protocol は「HTTP」に設定されます |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip は principal.ip にマッピングされます userid は principal.user.id にマッピングされます method は network.http.method にマッピングされます パスは target.url にマッピングされます。 result_status は network.http.response_code にマッピングされます object_size は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます network.application_protocol は「HTTP」に設定されます |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | パスは target.url にマッピングされます。 Referer_url は network.http.referral_url にマッピングされます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent は network.http.user_agent にマッピングされます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time は metadata.timestamp にマッピングされます ip は target.ip にマッピングされます principal_ip は principal.ip にマッピングされます principal_user_userid は principal.user.userid にマッピングされます metadata_timestamp は timestamp にマッピングされます http_method は network.http.method にマッピングされます resource_name は principal.resource.name にマッピングされます protocol は network.application_protocol = (HTTP) にマッピングされます response_code は network.http.response_code にマッピングされます receive_bytes は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます target.platform は「LINUX」に設定されます metadata.vendor_name は「NGINX」に設定されます metadata.product_name は「NGINX」に設定されます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます |
| var/log/nginx/error.log | 2022 年 01 月 29 日 13:51:48 [エラー] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\": (2: ファイルまたはディレクトリがありません): クライアント: 192.0.2.1、server: localhost、request: \"GET /nginx_status HTTP/1.1\"、ホスト: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 is mapped to "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?){protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id は principal.process.pid にマッピングされます severity は security_result.severity にマッピングされます (debug は UNKNOWN_SEVERITY に、info は INFORMATIONAL に、notice は LOW に、warn は MEDIUM に、error は ERROR に、crit は CRITICAL に、alert は HIGH にマッピングされます) target_file_full_path は target.file.full_path にマッピングされます principal_ip は principal.ip にマッピングされます target_hostname は target.hostname にマッピングされます http_method は network.http.method にマッピングされます resource_name は principal.resource.name にマッピングされます プロトコルは「TCP」にマッピングされます target_ip は target.ip にマッピングされます target_port は target.port にマッピングされます security_description + security_result_description_2 は security_result.description にマッピングされます pid は principal.process.parent_process.pid にマッピングされます network.application_protocol は「HTTP」に設定されます timestamp は %{year}/%{day}/%{month} %{time} にマッピングされます target.platform は「LINUX」に設定されます metadata.vendor_name は「NGINX」に設定されます metadata.product_name は「NGINX」に設定されます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます |
| var/log/rkhunter.log | [14:10:40] 必要なコマンドのチェックに失敗しました | [<message_text>]{security_description} | 進捗確認 | time は metadata.timestamp にマッピングされます security_description は security_result.description にマッピングされます principal.platform は「LINUX」に設定されます metadata.vendor_name は「RootKit Hunter」に設定されます metadata.product_name は「RootKit Hunter」に設定されます |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description は、metadata.description にマッピングされます
file_path は target.file.full_path にマッピングされます security_description は security_result.description にマッピングされます principal.platform は「LINUX」に設定されます metadata.vendor_name は「RootKit Hunter」に設定されます metadata.product_name は「RootKit Hunter」に設定されます |
| var/log/rkhunter.log | fluentd: ファイルサイズが縮小されました(inode が残っています): 「/var/log/rkhunter.log」。 | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time は metadata.timestamp にマッピングされます metadata_description は、metadata.description にマッピングされます file_path は target.file.full_path にマッピングされます principal.platform は「LINUX」に設定されます metadata.vendor_name は「RootKit Hunter」に設定されます metadata.product_name は「RootKit Hunter」に設定されます |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | 進捗確認 | タイムスタンプは「metadata.event_timestamp」にマッピングされます principal_hostname は「principal.hostname」にマッピングされます metadata_product_event_type は、「metadata.product_event_type」にマッピングされます metadata_description は、「metadata.description」にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/kern.log | 7 月 6 日 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | タイムスタンプは「metadata.event_timestamp」にマッピングされます principal_hostname は「principal.hostname」にマッピングされます metadata_product_event_type は、「metadata.product_event_type」にマッピングされます principal_asset_hardware_cpu_model は「principal.asset.hardware.cpu_model」にマッピングされます metadata_description は、「metadata.description」にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます principal.platform は「LINUX」に設定されます cpu_model は principal.asset.hardware.cpu_model にマッピングされます |
| /var/log/syslog.log | 5 月 24 日 10:30:42 Ubuntu18 systemd[1]: ユーザー kajal のセッション 112 が開始されました。 | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます message は metadata.description にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます principal.platform は「LINUX」に設定されます command_line は principal.process.command_line にマッピングされます |
| /var/log/syslog.log | 7 月 6 日 10:14:37 Ubuntu18 rsyslogd: rsyslogd のユーザー ID が 102 に変更されました | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time は、metadata.collected_timestamp にマッピングされます hostname は principal.hostname にマッピングされます message は metadata.description にマッピングされます user_id は principal.user.userid にマッピングされます command_line は principal.process.command_line にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/syslog.log | 7 月 6 日 10:36:48 Ubuntu18 systemd[1]: システム ロギング サービスを開始しています... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます message は metadata.description にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます principal.platform は「LINUX」に設定されます command_line は principal.process.command_line にマッピングされます |
| var/log/openvpnas.log | 2022 年 04 月 29日 T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 mohit_AUTOLOGIN/198.51.100.1:16245: 108: 198: 198/203.0.113.1:16245 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます local_ip は principal.ip にマッピングされます target_ip は target.ip にマッピングされます target_hostname は principal.hostname にマッピングされます port は target.port にマッピングされます user は principal.user_display_name にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| var/log/openvpnas.log | 2022 年 04 月 28 日 T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 ライブラリのバージョン: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | 進捗確認 | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます msg は security_result.description にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| var/log/openvpnas.log | 2022 年 04 月 28 日 T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" message は (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} にマッピングされます |
進捗確認 | principal.platform は「LINUX」に設定されます target_ip は target.ip にマッピングされます target_port は target.port にマッピングされます severity は security_result.severity にマッピングされます timestamp は metadata.timestamp にマッピングされます metadata.vendor_name は OpenVPN に設定されます metadata.product_name は OpenVPN Access Server に設定されます |
| var/log/openvpnas.log | 2022 年 04 月 29 日 T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] ピア接続 [開始] [AF_ISINET] 2.1:16245([AF_INET]198.51.100.1%ens160 経由)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") message は <message_text>with[<message_text>]<message_text>:{port}<message_text> にマッピングされます |
進捗確認 | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます metadata.vendor_name は OpenVPN に設定されます metadata.product_name は OpenVPN Access Server に設定されます principal.platform は Linux に設定されます target_ip は target.ip にマッピングされます target_port は target.port にマッピングされます target_hostname は target.hostname にマッピングされます intermediary_ip は intermediary.ip にマッピングされます |
| var/log/openvpnas.log | 2022 年 04 月 29 日T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | 進捗確認 | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます message は metadata.description にマッピングされます user は target.hostname にマッピングされます ip は target.ip にマッピングされます port は taregt.port にマッピングされます metadata.vendor_name は OpenVPN に設定されます metadata.product_name は OpenVPN Access Server に設定されます principal.platform は Linux に設定されます |
| var/log/openvpnas.log | 2022 年 04 月 29 日 T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | 進捗確認 | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます message は security_result.description にマッピングされます summary は security_result.summary にマッピングされます user_name は principal.user.user_display_name にマッピングされます cli は、principal.process.command_line にマッピングされます status は principal.user.user_authentication_status にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - ドット表記を使用した構成キー「[filterNames]」へのアクセスは非推奨になり、将来のリリースでは削除されます。代わりに「config.getProperty(key, targetClass)」を使用してください。 | [{timestamp}]{severity}{summary}\-{security_description}
, at {command_line}\({file_path}:<message_text>\) |
進捗確認 | command_line は「target.process.command_line」にマッピングされます
file_path は「target.process.file.full_path」にマッピングされます タイムスタンプは「metadata.event_timestamp」にマッピングされます severity は「security_result.severity」にマッピングされます summary は「security_result.summary」にマッピングされます security_description は「security_result.description」にマッピングされます metadata.product_name は「FLUENTD」に設定されます metadata.vendor_name は「FLUENTD」に設定されます |
| /var/log/auth.log | 7 月 4 日 19:26:19 Ubuntu18 systemd-logind[982]: セッション 153 を削除しました。 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | timestamp は「metadata.timestamp」にマッピングされます 値が「USER_LOGOUT」の場合、principal_hostname は target.hostname にマッピングされ、それ以外の場合は principal.hostname にマッピングされます 値が「USER_LOGOUT」の場合、principal_application は target.application にマッピングされ、それ以外の場合は「principal.application」にマッピングされます 値が「USER_LOGOUT」の場合、pid は target.process.pid にマッピングされ、それ以外の場合は principal.process.pid にマッピングされます。 security_description は「security_result.description」にマッピングされます network_session_id は「network.session_id」にマッピングされます 値が「USER_LOGOUT」の場合、principal_user_userid は principal.user.userid にマッピングされ、それ以外の場合は target.user.userid にマッピングされます。 「principal.platform」は「LINUX」に設定されます イベント security_description が削除されたセッションの場合、event_type は USER_LOGOUT に設定されます。 extensions.auth.type は AUTHTYPE_UNSPECIFIED に設定されます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/auth.log | 6 月 27 日 11:07:17 Ubuntu18 systemd-logind[804]: ユーザールートの新セッション 564。 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | timestamp は「metadata.timestamp」にマッピングされます 値が「USER_LOGOUT」の場合、principal_hostname は target.hostname にマッピングされ、それ以外の場合は principal.hostname にマッピングされます 値が「USER_LOGOUT」の場合、principal_application は target.application にマッピングされ、それ以外の場合は「principal.application」にマッピングされます 値が「USER_LOGOUT」の場合、pid は target.process.pid にマッピングされ、それ以外の場合は principal.process.pid にマッピングされます。 security_description は「security_result.description」にマッピングされます network_session_id は「network.session_id」にマッピングされます 値が「USER_LOGOUT」の場合、principal_user_userid は principal.user.userid にマッピングされ、それ以外の場合は target.user.userid にマッピングされます。 「principal.platform」は「LINUX」に設定されます 「network.application_protocol」は「SSH」にマッピングされます if(new_session) event_type は USER_LOGIN に設定されます extensions.auth.type は AUTHTYPE_UNSPECIFIED に設定されます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/auth.log | 6 月 27 日 11:07:17 Ubuntu18 sshd[9349]: 198.51.100.1 ポート 57619 ssh2 から root のパスワードを受け取った | {timestamp} {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? から (invalid user )?{principal_user_userid} の{principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} | USER_LOGIN | timestamp は「metadata.timestamp」にマッピングされます 値が「USER_LOGOUT」の場合、principal_hostname は target.hostname にマッピングされ、それ以外の場合は principal.hostname にマッピングされます 値が「USER_LOGOUT」の場合、principal_application は target.application にマッピングされ、それ以外の場合は「principal.application」にマッピングされます 値が「USER_LOGOUT」の場合、pid は target.process.pid にマッピングされ、それ以外の場合は principal.process.pid にマッピングされます。 security_description は「security_result.description」にマッピングされます 値が「USER_LOGOUT」の場合、principal_user_userid は principal.user.userid にマッピングされ、それ以外の場合は target.user.userid にマッピングされます。 principal_ip は「principal.ip」にマッピングされます principal_port は「principal.port」にマッピングされます security_result_detection_fields_ssh_kv は「security_result.detection_fields.key/value」にマッピングされます security_result_detection_fields_kv は「security_result.detection_fields.key/value」にマッピングされます 「principal.platform」は「LINUX」に設定されます 「network.application_protocol」は「SSH」に設定されます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/auth.log | 4 月 28 日 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | 進捗確認 | timestamp は metadata.timestamp にマッピングされます principal_hostname は principal.hostname にマッピングされます principal_application は principal.application にマッピングされます pid は principal.process.pid にマッピングされます principal_user_userid は target.user.userid にマッピングされます security_description は「security_result.description」にマッピングされます principal_process_command_line_1 は「principal.process.command_line」にマッピングされます principal_process_command_line_2 は「principal.process.command_line」にマッピングされます principal_user_attributes_labels_uid_kv は、「principal.user.attributes.labels.key/value」にマッピングされます 「principal.platform」は「LINUX」に設定されます |
| /var/log/auth.log | 7 月 4 日 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): (uid=0)によってユーザールート用のセッションが開始されました | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp は metadata.timestamp にマッピングされます 値が「USER_LOGOUT」の場合、principal_hostname は target.hostname にマッピングされ、それ以外の場合は principal.hostname にマッピングされます 値が「USER_LOGOUT」の場合、principal_application は target.application にマッピングされ、それ以外の場合は「principal.application」にマッピングされます 値が「USER_LOGOUT」の場合、pid は target.process.pid にマッピングされ、それ以外の場合は principal.process.pid にマッピングされます。 security_description は「security_result.description」にマッピングされます 値が「USER_LOGOUT」の場合、principal_user_userid は principal.user.userid にマッピングされ、それ以外の場合は target.user.userid にマッピングされます。 principal_user_attributes_labels_uid_kv は、「principal.user.attributes.labels.key/value」にマッピングされます 「principal.platform」は「LINUX」に設定されます 「network.application_protocol」は「SSH」に設定されます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/auth.log | 7 月 4 日 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): ユーザー root 用のセッションが終了しました | {timestamp} (invalid user|user){principal_user_userid} の {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} | USER_LOGOUT | timestamp は metadata.timestamp にマッピングされます 値が「USER_LOGOUT」の場合、principal_hostname は target.hostname にマッピングされ、それ以外の場合は principal.hostname にマッピングされます 値が「USER_LOGOUT」の場合、principal_application は target.application にマッピングされ、それ以外の場合は「principal.application」にマッピングされます 値が「USER_LOGOUT」の場合、pid は target.process.pid にマッピングされ、それ以外の場合は principal.process.pid にマッピングされます。 security_description は「security_result.description」にマッピングされます 値が「USER_LOGOUT」の場合、principal_user_userid は principal.user.userid にマッピングされ、それ以外の場合は target.user.userid にマッピングされます。 principal_user_attribute_labels_uid_kv は principal.user.attribute.labels.key/value にマッピングされます 「principal.platform」は「LINUX」に設定されます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/auth.log | 6 月 30 日 11:32:26 Ubuntu18 sshd[29425]: ユーザールート 198.51.100.1 ポート 52518 [preauth] の認証によって接続がリセットされました | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip} ポート {target_port}<optional_field>[preauth]|:<text_message>{security_summary> }|) | USER_LOGOUT | timestamp は metadata.timestamp にマッピングされます 値が「USER_LOGOUT」の場合、principal_hostname は target.hostname にマッピングされ、それ以外の場合は principal.hostname にマッピングされます 値が「USER_LOGOUT」の場合、principal_application は target.application にマッピングされ、それ以外の場合は「principal.application」にマッピングされます 値が「USER_LOGOUT」の場合、pid は target.process.pid にマッピングされ、それ以外の場合は principal.process.pid にマッピングされます。 security_description は security_result.description にマッピングされます security_summary は security_result.summary にマッピングされます 値が「USER_LOGOUT」の場合、principal_user_userid は principal.user.userid にマッピングされ、それ以外の場合は target.user.userid にマッピングされます。 target_ip は target.ip にマッピングされます target_port は 「target.port」にマッピングされます 「principal.platform」は「LINUX」に設定されます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | 進捗確認 | timestamp は「metadata.timestamp」にマッピングされます pid は「principal.process.pid」にマッピングされます principal_user_attributes_labels_kv は、「principal.user.attributes.labels」にマッピングされます principal_group_attributes_labels_kv は「principal.group.attributes.labels」にマッピングされます principal_user_userid は「principal.user.userid」にマッピングされます principal_group_product_object_id は「principal.group.product_object_id」にマッピングされます security_description は「security_result.description」にマッピングされます metadata_description は、「metadata.description」にマッピングされます metadata.product_name は「FLUENTD」に設定されます metadata.vendor_name は「FLUENTD」に設定されます |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | 進捗確認 | metadata.product_name は「FLUENTD」に設定されます metadata.vendor_name は「FLUENTD」に設定されます user_id は principal.user.userid にマッピングされます desc は metadata.description にマッピングされます |
| /var/log/mail.log | 7 月 16 日 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.209G6AtwH0.202203160610.209G6AtwH0 SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | 進捗確認 | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/mail.log | 7 月 7日 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | 進捗確認 | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます resource_name は target.resource.name にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/smtp[23436]: gmail-smtp-in.l.example.com [2607:xxxx:xxxx:xxx::xx]:25 に接続: ネットワークにアクセスできない | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | 進捗確認 | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
| /var/log/mail.log | 7 月 7 日 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「FLUENTD」に設定されます metadata.product_name は「FLUENTD」に設定されます |
監査
監査ログフィールドから UDM フィールド
次の表に、監査ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| ログフィールド | UDM フィールド |
|---|---|
| acct に返す点に注目してください。 | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| サポート | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| ファミリー | 「ip_protocol」== 2 の場合は network.ip_protocol が「IP6IN4」に設定され、それ以外の場合は「UNKNOWN_IP_PROTOCOL」に設定されます |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| icmptype | network.ip_protocol は「ICMP」に設定されます |
| id | [audit_log_type] == "ADD_USER" の場合、target.user.userid は「%{id}」に設定されます
[audit_log_type] == "ADD_GROUP" の場合、target.group.product_object_id は "%{id}"" に設定されています。 それ以外の場合、target.user.Attribute.labels.key/value は id に設定されます |
| inode | target.resource.product_object_id |
| キー | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attributes.permissions.name
target.resource.attribute.permissions.type |
| 名前 | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| パス | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | [ip_protocol] == 2 の場合、network.ip_protocol は「IP6IN4」に設定されます
それ以外の場合は、network.ip_protocol が 「UNKNOWN_IP_PROTOCOL」に設定されます |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| success | success=='yes' の場合、security_result.summary は「system call was successful」に設定されます。それ以外の場合、security_result.summary は「systemcall was failed」に設定されます |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| ターミナル | target.labels.key/value |
| tty | target.labels.key/value |
| uid | If [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid は principal.user.userid に設定されます
else uid は target.user.userid に設定されます |
| vm | target.resource.name |
監査ログから UDM イベントタイプ
次の表に、監査ログの種類とそれに対応する UDM イベントタイプを示します。
| 監査ログのタイプ | UDM イベントタイプ | 説明 |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | ユーザー空間グループが追加されるとトリガーされます。 |
| ADD_USER | USER_CREATION | ユーザー空間のユーザー アカウントが追加されるとトリガーされます。 |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | プロセスが異常終了するとトリガーされます(有効な場合、コアダンプの原因となるシグナルを使用)。 |
| AVC | GENERIC_EVENT | SELinux 権限チェックを記録するためにトリガーされます。 |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | 監査システムの構成が変更されるとトリガーされます。 |
| CRED_ACQ | USER_LOGIN | ユーザーがユーザー空間の認証情報を取得するとトリガーされます。 |
| CRED_DISP | USER_LOGOUT | ユーザーがユーザー空間の認証情報を破棄するとトリガーされます。 |
| CRED_REFR | USER_LOGIN | ユーザーがユーザー空間の認証情報を更新するとトリガーされます。 |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | 暗号化に使用される暗号鍵 ID を記録するためにトリガーされます。 |
| CRYPTO_SESSION | PROCESS_TERMINATION | TLS セッションの確立中に設定されたパラメータを記録するためにトリガーされます。 |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 現在の作業ディレクトリを記録するためにトリガーされます。 |
| DAEMON_ABORT | PROCESS_TERMINATION | エラーのためにデーモンが停止するとトリガーされます。 |
| DAEMON_END | PROCESS_TERMINATION | デーモンが正常に停止するとトリガーされます。 |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | auditd デーモンがロギングを再開するとトリガーされます。 |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | auditd デーモンが監査ログファイルをローテーションしたときにトリガーされます。 |
| DAEMON_START | PROCESS_LAUNCH | auditd デーモンが開始されるとトリガーされます。 |
| DEL_GROUP | GROUP_DELETION | ユーザー空間グループが削除されるとトリガーされます。 |
| 保留 | USER_DELETION | ユーザー空間ユーザーが削除されるとトリガーされます。 |
| EXECVE | PROCESS_LAUNCH | execve(2) システム呼び出しの引数を記録するようにトリガーされます。 |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | SELinux ブール値が変更されるとトリガーされます。 |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | IPSec イベントに関する情報が検出されるか、または IPSec 構成が変更されると、その情報の記録がトリガーされます。 |
| MAC_POLICY_LOAD | GENERIC_EVENT | SELinux ポリシー ファイルが読み込まれるとトリガーされます。 |
| MAC_STATUS | GENERIC_EVENT | SELinux モード(enforcing、permissive、off)が変更されたときにトリガーされます。 |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | NetLabel によって提供されるカーネルのパケット ラベリング機能を使用して、静的ラベルが追加されるとトリガーされます。 |
| NETFILTER_CFG | GENERIC_EVENT | Netfilter チェーンの変更が検出されるとトリガーされます。 |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | シグナルが送信されたプロセスに関する情報を記録するようにトリガーされます。 |
| PATH | FILE_OPEN/GENERIC_EVENT | ファイル名パス情報を記録するためにトリガーされます。 |
| SELINUX_ERR | GENERIC_EVENT | 内部 SELinux エラーが検出されるとトリガーされます。 |
| SERVICE_START | SERVICE_START | サービスが開始されるとトリガーされます。 |
| SERVICE_STOP | SERVICE_STOP | サービスが停止するとトリガーされます。 |
| SYSCALL | GENERIC_EVENT | カーネルへのシステムコールを記録するためにトリガーされます。 |
| SYSTEM_BOOT | STATUS_STARTUP | システムが起動するとトリガーされます。 |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | システムの実行レベルが変更されるとトリガーされます。 |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | システムがシャットダウンされるとトリガーされます。 |
| USER_ACCT | SETTING_MODIFICATION | ユーザー空間のユーザー アカウントが変更されるとトリガーされます。 |
| USER_AUTH | USER_LOGIN | ユーザー空間認証の試行が検出されるとトリガーされます。 |
| USER_AVC | USER_UNCATEGORIZED | ユーザー空間 AVC メッセージが生成されるとトリガーされます。 |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | ユーザー アカウント属性が変更されるとトリガーされます。 |
| USER_CMD | USER_COMMUNICATION | ユーザー空間シェルコマンドの実行時にトリガーされます。 |
| USER_END | USER_LOGOUT | ユーザー空間セッションが終了するとトリガーされます。 |
| USER_ERR | USER_UNCATEGORIZED | ユーザー アカウントの状態のエラーが検出されるとトリガーされます。 |
| USER_LOGIN | USER_LOGIN | ユーザーがログインするとトリガーされます。 |
| USER_LOGOUT | USER_LOGOUT | ユーザーがログアウトするとトリガーされます。 |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | ユーザー空間デーモンが SELinux ポリシーを読み込むとトリガーされます。 |
| USER_MGMT | USER_UNCATEGORIZED | ユーザー空間の管理データを記録するようにトリガーされます。 |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | ユーザーの SELinux ロールが変更されるとトリガーされます。 |
| USER_START | USER_LOGIN | ユーザー空間セッションが開始されるとトリガーされます。 |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | ユーザー空間システム構成の変更が検出されるとトリガーされます。 |
| VIRT_CONTROL | STATUS_UPDATE | 仮想マシンが起動、一時停止、または停止したときにトリガーされます。 |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | 仮想マシンへのラベルのバインディングを記録するためにトリガーされます。 |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | 仮想マシンのリソース割り当てを記録するためにトリガーされます。 |
メール
メールログのフィールドから UDM フィールド
次の表に、メールログ タイプのログ フィールドと、対応する UDM フィールドを示します。
| ログフィールド | UDM フィールド |
|---|---|
| クラス | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| 開始日 | network.email.from |
| Msgid | network.email.mail_id |
| .proto | network.application_protocol |
| リレー | intermediary.hostname
intermediary.ip |
| サイズ | network.received_bytes |
| Stat | security_result.summary |
| ~ | network.email.to |
メールログ タイプから UDM イベントタイプ
次の表に、メールログの種類と対応する UDM のイベントの種類を示します。
| メール ログ タイプ | UDM イベントタイプ |
|---|---|
| Sendmail | 進捗確認 |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | 進捗確認 |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | 進捗確認 |
| ローカル | EMAIL_UNCATEGORIZED |