使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

收集 Fluentd 日志

本文档介绍了如何通过配置 Fluentd 和 Chronicle 转发器来收集 Fluentd 日志。本文档还列出了支持的日志类型和受支持的 Fluentd 版本。

如需了解详情,请参阅 Chronicle 数据提取

概览

以下部署架构图显示了如何在转发器服务器和聚合器服务器上安装 Fluentd 以将日志发送到 Chronicle。每个客户部署可能与此表示不同,并且可能更复杂。

部署架构

该架构图显示了以下组件:

  • Linux 系统。要监控的 Linux 系统。Linux 系统包含要监控的文件和 Fluentd 转发器服务器。

  • Microsoft Windows 系统。要监控的 Microsoft Windows 系统,其中安装了 Fluentd 转发器服务器。

  • Fluent 转发器。Fluentd 转发器会从 Microsoft Windows 或 Linux 系统收集信息,并将这些信息转发到 Fluentd 聚合器。

  • Fluentd 聚合服务商。Fluentd 聚合器接收来自 Fluentd 转发器的日志,并将日志转发到 Chronicle 转发器。

  • Chronicle 转发器。Chronicle 转发器是部署在客户网络中的轻量级软件组件,支持 syslog。Chronicle 转发器会将日志转发到 Chronicle。

  • Chronicle。Chronicle 会保留和分析来自 Fluentd 聚合器的日志。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于带有 FLUENTD 提取标签的解析器。

准备工作

  • 确保 Fluentd 转发器安装在您要监控的 Microsoft Windows 或 Linux 系统上。如需详细了解如何安装 Fluentd 转发器,请参阅 Fluentd 安装

  • 使用 Chronicle 解析器支持的 Fluentd 版本。Chronicle 解析器支持 Fluentd 1.0 版。

  • 确保 Fluentd 聚合器在中央 Linux 服务器上安装和配置。

  • 确保部署架构中的所有系统均采用 UTC 时区。

  • 验证 Chronicle 解析器支持的日志类型。 下表列出了 Chronicle 解析器支持的产品和日志文件路径:

    操作系统 产品 日志文件路径
    Microsoft Windows Microsoft Windows 事件日志
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux Apache2 /var/log/python2/access.log
    Linux Apache2 /var/log/python2/error.log
    Linux Apache2 /var/log/mozilla2/other_vhosts_access.log
    Linux Apache2 /var/log/mozilla2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux Krununter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux 观景台 /var/log/rundeck/service.log
    Linux 桑巴 /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

配置 Fluentd 转发器和聚合器,以及 Chronicle 转发器

  1. 如需监控 Linux 系统生成的日志,请创建一个 td-agent.conf 文件,为 Fluentd 转发器指定日志监控配置。以下是 Linux 系统上的 Fluentd 转发器的示例配置文件:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. 如需监控 Microsoft Windows 系统生成的日志,请创建一个 td-agent.conf 文件,为 Fluentd 转发器指定日志监控配置。以下是 Microsoft Windows 系统上的 Fluentd 转发器的示例配置文件:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. 如需将日志从 Fluentd 聚合器转发到 Chronicle 转发器,请创建以下格式的配置文件:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the Chronicle forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. 配置 Chronicle 转发器以向 Chronicle 发送日志。如需了解详情,请参阅在 Linux 上安装和配置转发器。以下是 Chronicle 转发器配置示例:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

字段映射参考文档

本部分介绍解析器如何为 Linux 和 Microsoft Windows 系统应用 grok 模式,以及如何将 Fluentd 日志字段映射到每种日志类型的 Chronicle Unified Data Model (UDM) 字段。

如需了解如何映射通用字段,请参阅通用字段

有关日志路径、示例日志的事件类型、事件类型以及 Linux 系统上的 UDM 字段的参考信息,请参阅以下部分:

如需了解受支持的 Microsoft Windows 事件和相应的 UDM 字段,请参阅 Microsoft Windows 事件数据

常用字段

下表列出了常见的日志字段及其对应的 UDM 字段。

通用日志字段 UDM 字段
收集时间 metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname 或 primary.hostname
inner_message.path event_source

Linux 系统

下表列出了 Linux 系统的日志路径、示例日志的 grok 模式、事件类型以及 UDM 映射:

日志路径 日志示例 卡槽图案 事件类型 UDM 映射
/var/log/python2/error.log ] [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

时间戳会映射到 metadata.event_timestamp

log_module 映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

client.ip 已映射到 principal.ip

client_port 映射到 principal.port

error_message 已映射到 security_result.description

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] 无法连接 [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

时间戳会映射到 metadata.event_timestamp

log_module 映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

error_message 已映射到 security_result.description

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/error.log ] [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

时间戳会映射到 metadata.event_timestamp

log_module 映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

client.ip 已映射到 principal.ip

client_port 映射到 principal.port

error_message 已映射到 security_result.description

target.platform 设为“LINUX”

Referer_url 被映射到 network.http.referral_url

/var/log/python2/error.log ] [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer_url} NETWORK_HTTP

时间戳会映射到 metadata.event_timestamp

log_module 映射到 target.resource.name

log_level 映射到 security_result.severity

pid 会映射到 target.process.parent_process.pid

tid 映射到 target.process.pid

client.ip 已映射到 principal.ip

client_port 映射到 principal.port

error_message 已映射到 security_result.description

target_ip 映射到 target.ip

Referer_url 被映射到 network.http.referral_url

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/error.log [Sat January 22 00:30:55 2019] 新连接:[connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

时间戳会映射到 metadata.event_timestamp

client.ip 已映射到 principal.ip

client_port 映射到 principal.port

connection_id 已映射到 network.session_id

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/error.log [2019 年 2 月 2 日周六] 新请求:[连接:j8BjX4Z5tjk] [请求:ACtkX1Z5tjk] [pid 8] [客户端 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

时间戳会映射到 metadata.event_timestamp

request_id 映射到 security_result.detection_field.(key/value)

client.ip 已映射到 principal.ip

client_port 映射到 principal.port

pid 会映射到 target.process.parent_process.pid

connection_id 已映射到 network.session_id

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/error.log ] [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

时间戳会映射到 metadata.event_timestamp

log_level 映射到 security_result.severity

request_id 映射到 security_result.detection_field.(key/value)

client.ip 已映射到 principal.ip

client_port 映射到 principal.port

pid 会映射到 target.process.parent_process.pid

connection_id 已映射到 network.session_id

error_message 已映射到 security_result.description

file_path 已映射到 target.file.full_path

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; X64) Safari2 ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<可选_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client.ip 已映射到 principal.ip

userid 已映射到 primary.user.userid

主机已映射到主帐号。

时间戳会映射到 metadata.event_timestamp

方法会映射到 network.http.method

资源已映射到 primary.resource.name

client_protocol 映射到 network.application_protocol

result_status 被映射到 network.http_response_code

object_size 会映射到 network.sent_bytes

Referer_url 被映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

var/log/mozilla2/other_vhosts_access.log 讯息。 {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP target_host 映射到 target.hostname

target_port 映射到 target.port

client.ip 已映射到 principal.ip

userid 已映射到 primary.user.userid

主机已映射到主帐号。

时间戳会映射到 metadata.event_timestamp

方法会映射到 network.http.method

资源已映射到 primary.resource.name

result_status 被映射到 network.http_response_code

object_size 会映射到 network.sent_bytes

Referer_url 被映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

network.application_protocol 设置为“HTTP”

var/log/mozilla2/novnc-server-access.log 讯息。 {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

client.ip 已映射到 principal.ip

userid 已映射到 primary.user.userid

方法会映射到 network.http.method

路径已映射到 target.url

result_status 被映射到 network.http_response_code

object_size 会映射到 network.sent_bytes

Referer_url 被映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

network.application_protocol 设置为“HTTP”

/var/log/python2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<optional_field>{referer_url}?)->(<可选_field>{path}?) 常规事件

路径已映射到 target.url

Referer_url 被映射到 network.http.referral_url

network.direction 设置为“OUTBOUND”

target.platform 设为“LINUX”

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

/var/log/python2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<可选字段>{user_agent}) 常规事件

user_agent 映射到 network.http.user_agent

network.direction 设置为“OUTBOUND”

target.platform 设为“LINUX”

network.application_protocol 设置为“HTTP”

target.platform 设为“LINUX”

metadata.vendor.name 设置为“Apache”

metadata.product_name 设置为“Apache HTTP Server”

var/log/nginx/access.log 192.0.2.1 - 管理员 [05/ May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/6.6 (0.6){3} {primary_ip} -(<optional_field>{primary_user_userid}?)[{timestamp}] {http_method} /(<可选_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<可选_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

时间映射到元数据。timestamp

ip 映射到 target.ip

owner_ip 已映射到 principal.ip

primary_user_userid 已映射到 principal.user.userid

metadata_timestamp 映射到时间戳

http_method 映射到 network.http.method

resource_name 映射到 principal.resource.name

协议映射到 network.application_protocol = (HTTP)

response_code 映射到 network.http.response_code

received_bytes 会映射到 network.sent_bytes

Referer_url 被映射到 network.http.referral_url

user_agent 映射到 network.http.user_agent

target.platform 设为“LINUX”

元数据.vendor_name 设置为“NGINX”

metadata.product_name 设置为“NGINX”

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

var/log/nginx/error.log 2022/01/29 13:51:48 [错误] 593#593: *62432 open()“ {year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}

inner_message2 已映射到“{security_result_description_2}”,客户端:{primary_ip},server:(<optional_field>{target_hostname}?),request:"{http_method}//(<可选_field>{resource_name}?){protocol}/1.1",host:"({target_ip}:{target_port})?"

“bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description}),”

"\*{cid}{security_description}、

“{security_description}”

NETWORK_HTTP

thread_id 已映射到 primary.process.pid

严重程度映射到 security_result.verity

(调试映射到 UNKNOWN_SEVERITY,信息映射到 INFORMATIONAL,通知映射到 LOW,警告映射到 ERROR,错误映射到 CRITICAL,提醒映射到 High)

target_file_full_path 映射到 target.file.full_path

owner_ip 已映射到 principal.ip

target_hostname 映射到 target.hostname

http_method 映射到 network.http.method

resource_name 映射到 principal.resource.name

协议被映射到“TCP”

target_ip 映射到 target.ip

target_port 映射到 target.port

security_description + security_result_description_2 映射到 security_result.description

pid 会映射到 primary.process.parent_process.pid

network.application_protocol 设置为“HTTP”

时间戳映射到 {year}/{day}/{month} {time}

target.platform 设为“LINUX”

元数据.vendor_name 设置为“NGINX”

metadata.product_name 设置为“NGINX”

network.ip_protocol 设置为“TCP”

network.direction 设置为“OUTBOUND”

var/log/rkhunter.log [14:10:40] 必要的命令检查失败 [<message_text>]{security_description} 状态更新

时间映射到元数据。timestamp

security_description 对应于 security_result.description

primary.platform 设置为“LINUX”

元数据.vendor_name 设置为“RootKit Hunter”

metadata.product.name 设置为“RootKit Hunter”

var/log/rkhunter.log [14:09:52] 正在检查文件“/dev/.oz/.nap/rkit/terror”[未找到] [<message_text>] {security_description} {file_path}[\{metadata_description}] 未提交文件 metadata_description 映射到 metadata.description

file_path 已映射到 target.file.full_path

security_description 对应于 security_result.description

primary.platform 设置为“LINUX”

元数据.vendor_name 设置为“RootKit Hunter”

metadata.product.name 设置为“RootKit Hunter”

var/log/rkhunter.log flud:文件减小(inode 保留):“/var/log/rkhunter.log”。 (<optional_field><message_text>:){metadata_description}:'{file_path}' 未提交文件

时间映射到元数据。timestamp

metadata_description 映射到 metadata.description

file_path 已映射到 target.file.full_path

primary.platform 设置为“LINUX”

元数据.vendor_name 设置为“RootKit Hunter”

metadata.product.name 设置为“RootKit Hunter”

/var/log/kern.log 4 月 28 日 12:41:35 localhost 内核:[ 5079.912215] ctnetlink v0.93:向 nfnetlink 注册。 {timestamp}{primary_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} 状态更新

时间戳映射到“metadata.event_timestamp”

primary_hostname 映射到“primary.hostname”

metadata_product_event_type 映射到“metadata.product_event_type”

metadata_description 映射到“metadata.description”

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

primary.platform 设置为“LINUX”

/var/log/kern.log 7 月 6 日 11:17:01 Ubuntu18 内核:[ 0.030139] smpboot:CPU0:Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz(系列:0x6,型号:0x55,步长:0x7) {timestamp}{primary_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{primary_asset_hardware_cpu_model}({metadata_description}) 状态更新

时间戳映射到“metadata.event_timestamp”

primary_hostname 映射到“primary.hostname”

metadata_product_event_type 映射到“metadata.product_event_type”

primary_asset_hardware_cpu_model 映射到“primary.asset.hardware.cpu_model”

metadata_description 映射到“metadata.description”

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

primary.platform 设置为“LINUX”

cpu_model 已映射到 principal.asset.hardware.cpu_model

/var/log/syslog.log 5 月 24 日 10:30:42 Ubuntu18 systemd[1]:用户 kajal 会话 112 已启动。 {collected_timestamp}{hostname}{command_line}(<可选_field>[{pid}]):{message} 状态更新

collection_time 已映射到 metadata.event_timestamp

主机名已映射到主帐号。

pid 会映射到 primary.process.pid

消息会映射到 metadata.description

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

primary.platform 设置为“LINUX”

Command_line 已映射到 primary.process.command_line

/var/log/syslog.log 7 月 6 日 10:14:37 Ubuntu18 rsyslogd:rsyslogd 的 userid 已更改为 102 {collected_timestamp}{hostname}{command_line}:{message}发送给 {user_id} 状态更新

collection_time 已映射到 metadata.collected_timestamp

主机名已映射到主帐号。

消息会映射到 metadata.description

user_id 已映射到 principal.user.userid

Command_line 已映射到 primary.process.command_line

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

primary.platform 设置为“LINUX”

/var/log/syslog.log 7 月 6 日 10:36:48 Ubuntu18 systemd[1]:启动系统日志记录服务... {collected_timestamp}{hostname}{command_line}(<可选字段>|[{pid}]):{message} 状态更新

collection_time 已映射到 metadata.event_timestamp

主机名已映射到主帐号。

pid 会映射到 primary.process.pid

消息会映射到 metadata.description

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

primary.platform 设置为“LINUX”

Command_line 已映射到 primary.process.command_line

var/log/openvpnas.log {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<可选_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

时间戳映射到 metadata.timestamp

log_level 映射到 security_result.severity

local_ip 映射到 principal.ip

target_ip 映射到 target.ip

target_hostname 映射到 primary.hostname

端口已映射到 target.port

映射到主帐号。user.user_display_name

元数据.vendor_name 设置为“OpenVPN”

元数据.product_name 设置为“OpenVPN Access Server”

primary.platform 设置为“LINUX”

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 库版本:OpenSSL 1.1.1 11 月 2018 年,LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<可选_field>'|") 状态更新

时间戳映射到 metadata.timestamp

log_level 映射到 security_result.severity

msg 已映射到 security_result.description

元数据.vendor_name 设置为“OpenVPN”

元数据.product_name 设置为“OpenVPN Access Server”

primary.platform 设置为“LINUX”

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<可选_field>|“<message_text>-<message_text>-<message_text><message_text>{message}”<可选字段>|

消息会映射到 (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

状态更新

primary.platform 设置为“LINUX”

target_ip 映射到 target.ip

target_port 映射到 target.port

严重程度映射到 security_result.verity

时间戳映射到 metadata.timestamp

metadata.vendor.name 设置为 OpenVPN

metadata.product_name 设置为 OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_NET0]

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<可选_field>||)

消息被映射至 <message_text>with[<message_text>]<message_text>:{port}<message_text>

状态更新

时间戳映射到 metadata.timestamp

log_level 映射到 security_result.severity

metadata.vendor.name 设置为 OpenVPN

metadata.product_name 设置为 OpenVPN Access Server

primary.platform 已设置为 Linux

target_ip 映射到 target.ip

target_port 映射到 target.port

target_hostname 映射到 target.hostname

intermediary.ip 会映射到 intermediary.ip

var/log/openvpnas.log {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<可选_field>||<message_text>{user}\/{ip}:{message}(<可选_field>'|") 状态更新

时间戳映射到 metadata.timestamp

log_level 映射到 security_result.severity

消息会映射到 metadata.description

用户已映射到 target.hostname

ip 映射到 target.ip

端口已映射到 taregt.port

metadata.vendor.name 设置为 OpenVPN

metadata.product_name 设置为 OpenVPN Access Server

primary.platform 已设置为 Linux

var/log/openvpnas.log {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' 状态更新

时间戳映射到 metadata.timestamp

log_level 映射到 security_result.severity

消息会映射到 security_result.description

摘要会映射到 security_result.summary

user_name 已映射到 primary.user.user_display_name

CLI 映射到 primary.process.command_line

状态已映射到 primary.user.user_authentication_status

元数据.vendor_name 设置为“OpenVPN”

元数据.product_name 设置为“OpenVPN Access Server”

primary.platform 设置为“LINUX”

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - 通过点表示法访问配置键“[filterNames]”,并将在未来的版本中移除它。请改用“config.getProperty(key, targetClass)”。 [{timestamp}]{severity}{summary}\-{security_description}

,位于 {command_line}\({file_path}:<message_text>\)

状态更新 “command_line”会映射到“target.process.command_line”

file_path 已映射到“target.process.file.full_path”

时间戳映射到“metadata.event_timestamp”

严重程度映射到“security_result.severity”

摘要会映射到“security_result.summary”

security_description 映射到“security_result.description”

元数据.product_name 设置为“FLUENTD”

元数据.vendor_name 设置为“FLUENTD”

/var/log/auth.log 7 月 4 日 19:26:19 Ubuntu18 systemd-logind[982]:移除了会话 153。 {timestamp} {primary_hostname}{primary_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(针对用户 {primary_user_userid})? USER_LOGOUT

时间戳映射到“metadata.timestamp”

如果值是“USER_LOGOUT”,则 primary.hostname 会映射到 target.hostname,否则会映射到 primary.hostname

如果值是“USER_LOGOUT”,则 primary_application 会映射到 target.application,否则,会映射到“primary.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid,否则会映射到 primary.process.pid。

security_description 映射到“security_result.description”

network_session_id 映射到“network.session_id”

将 primary_user_userid 映射到 primary.user.userid(如果值为“USER_LOGOUT”),否则映射到 target.user.userid。

“primary.platform”设置为“LINUX”

如果事件“security_description”已移除,则 event_type 将设置为 USER_LOGOUT。

extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/auth.log 6 月 27 日 11:07:17 Ubuntu18 systemd-logind[804]:用户 root 的新会话 564。 {timestamp} {primary_hostname}{primary_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(针对用户 {primary_user_userid})? USER_Login

时间戳映射到“metadata.timestamp”

如果值是“USER_LOGOUT”,则 primary.hostname 会映射到 target.hostname,否则会映射到 primary.hostname

如果值是“USER_LOGOUT”,则 primary_application 会映射到 target.application,否则,会映射到“primary.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid,否则会映射到 primary.process.pid。

security_description 映射到“security_result.description”

network_session_id 映射到“network.session_id”

将 primary_user_userid 映射到 primary.user.userid(如果值为“USER_LOGOUT”),否则映射到 target.user.userid。

“primary.platform”设置为“LINUX”

“network.application_protocol”映射到“SSH”

if(new_session) event_type 设为 USER_Login

extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/auth.log 6 月 27 日 11:07:17 Ubuntu18 sshd[9349]:接受来自 198.51.100.1 端口 57619 ssh2 的 root 密码 {timestamp_ip}{primary_application}(<optional_field>[{pid}]) 的 {optional_field} {security_description} (无效用户)?{primary_user_userid}(来自 {primary_ip} 端口 {primary_ip})ssh2(:{security_result_detection_field_ssh_kv}SHA256?{security_result_detection) USER_Login

时间戳映射到“metadata.timestamp”

如果值是“USER_LOGOUT”,则 primary.hostname 会映射到 target.hostname,否则会映射到 primary.hostname

如果值是“USER_LOGOUT”,则 primary_application 会映射到 target.application,否则,会映射到“primary.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid,否则会映射到 primary.process.pid。

security_description 映射到“security_result.description”

将 primary_user_userid 映射到 primary.user.userid(如果值为“USER_LOGOUT”),否则映射到 target.user.userid。

primary_ip 映射到“primary.ip”

primary_port 映射到“primary.port”

security_result_detection_field_ssh_kv 会映射到“security_result.detection_field.key/value”

security_result_detection_field_kv 会映射到“security_result.detection_field.key/value”

“primary.platform”设置为“LINUX”

“network.application_protocol”设置为“SSH”

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/auth.log 4 月 28 日 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls 状态更新

时间戳映射到 metadata.timestamp

primary_hostname 已映射到 principal.hostname

primary_application 映射到 principal.application

pid 会映射到 primary.process.pid

primary_user_userid 已映射到 target.user.userid

security_description 映射到“security_result.description”

primary_process_command_line_1 映射到 "primary.process.command_line"

primary_process_command_line_2 映射到 "primary.process.command_line"

primary_user_attribute_labels_uid_kv 映射到“primary.user.attribute.labels.key/value”

“primary.platform”设置为“LINUX”

/var/log/auth.log 7 月 4 日 19:39:01 Ubuntu18 CRON[17217]:pam_unix(cron:session):已打开用户根会话 (uid=0) {timestamp} {primary_hostname}{primary_application}(<optional_field>[{pid}]) 为(无效用户|用户)的 {security_description}?{primary_user_userid}(由 (uid={primary_user_attribute_labels_uid_kv}))?$ USER_Login

时间戳映射到 metadata.timestamp

如果值是“USER_LOGOUT”,则 primary.hostname 会映射到 target.hostname,否则会映射到 primary.hostname

如果值是“USER_LOGOUT”,则 primary_application 会映射到 target.application,否则,会映射到“primary.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid,否则会映射到 primary.process.pid。

security_description 映射到“security_result.description”

将 primary_user_userid 映射到 primary.user.userid(如果值为“USER_LOGOUT”),否则映射到 target.user.userid。

primary_user_attribute_labels_uid_kv 映射到“primary.user.attribute.labels.key/value”

“primary.platform”设置为“LINUX”

“network.application_protocol”设置为“SSH”

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/auth.log 7 月 4 日 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session session for user root {timestamp} {primary_hostname}{primary_application}<可选_filed>[{pid}]:{for_description} for (invalid user|user){primary_user_userid} USER_LOGOUT

时间戳映射到 metadata.timestamp

如果值是“USER_LOGOUT”,则 primary.hostname 会映射到 target.hostname,否则会映射到 primary.hostname

如果值是“USER_LOGOUT”,则 primary_application 会映射到 target.application,否则,会映射到“primary.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid,否则会映射到 primary.process.pid。

security_description 映射到“security_result.description”

将 primary_user_userid 映射到 primary.user.userid(如果值为“USER_LOGOUT”),否则映射到 target.user.userid。

primary_user_attribute_labels_uid_kv 映射到 principal.user.attribute.labels.key/value

“primary.platform”设置为“LINUX”

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/auth.log 6 月 30 日 11:32:26 Ubuntu18 sshd[29425]:通过验证用户根 198.51.100.1 端口 52518 来重置连接 [预身份验证] {timestamp} {primary_hostname}{primary_application}(<optional_field>[{pid}]):{security_description}(from|{primary_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

时间戳映射到 metadata.timestamp

如果值是“USER_LOGOUT”,则 primary.hostname 会映射到 target.hostname,否则会映射到 primary.hostname

如果值是“USER_LOGOUT”,则 primary_application 会映射到 target.application,否则,会映射到“primary.application”

如果值为“USER_LOGOUT”,则 pid 会映射到 target.process.pid,否则会映射到 primary.process.pid。

security_description 对应于 security_result.description

security_summary 对应于 security_result.summary

将 primary_user_userid 映射到 primary.user.userid(如果值为“USER_LOGOUT”),否则映射到 target.user.userid。

target_ip 映射到 target.ip

target_port 映射到 target.port"

将 primary.platform 设置为“LINUX”

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ... {timestamp},{severity}(<optional_field>,pid={pid},effective({primary_user_attribute_labels_kv},{primary_group_attribute_labels_kv}),real({primary_user_userid},{primary_group_product_object_id}))?]<message_text>:{security_description} 状态更新

时间戳映射到“metadata.timestamp”

pid 会映射到“primary.process.pid”

primary_user_attribute_labels_kv 映射到“primary.user.attribute.labels”

primary_group_attribute_labels_kv 映射到“primary.group.attribute.labels”

primary_user_userid 已映射到“primary.user.userid”

primary_group_product_object_id 映射到“primary.group.product_object_id”

security_description 映射到“security_result.description”

metadata_description 映射到“metadata.description”

“metadata.product_name”设置为“FLUENTD”

元数据.vendor_name”设置为“FLUENTD”

var/log/samba/log.winbindd Messaging_dgm_init:绑定失败:设备上没有剩余空间 {user_id}:{desc} 状态更新

“metadata.product_name”设置为“FLUENTD”

元数据.vendor_name”设置为“FLUENTD”

user_id 已映射到 principal.user.userid

desc 已映射到 metadata.description

/var/log/mail.log 7 月 16 日 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=< Flud@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.2244 W2243 {timestamp} {target_hostname} {application}[{pid}]:<message_text>:{KV} 状态更新

target_hostname 映射到 target.hostname

应用已映射到 target.application

pid 会映射到 target.process.pid

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} 发送电子邮件 UNCATEGORIZED

target_hostname 映射到 target.hostname

应用已映射到 target.application

pid 会映射到 target.process.pid

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod postfix/cleanup[23434]:AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]:<message_text> message-id=<{resource_name}> 状态更新

target_hostname 映射到 target.hostname

应用已映射到 target.application

pid 会映射到 target.process.pid

resource_name 映射到 target.resource.name

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod postfix/qmgr[3539]:AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1(队列处于活动状态) {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} 发送电子邮件 UNCATEGORIZED

target_hostname 映射到 target.hostname

应用已映射到 target.application

pid 会映射到 target.process.pid

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:01 prod postfix/smtp[23436]:连接到 gmail-smtp-in.l.abc.com[2607:xxxx:xxxx:xxx::xx]:25:网络无法访问 {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} 状态更新

target_hostname 映射到 target.hostname

应用已映射到 target.application

pid 会映射到 target.process.pid

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

/var/log/mail.log 7 月 7 日 13:44:02 prod 后缀 {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} 发送电子邮件 UNCATEGORIZED

target_hostname 映射到 target.hostname

应用已映射到 target.application

pid 会映射到 target.process.pid

元数据.vendor_name 设置为“FLUENTD”

元数据.product_name 设置为“FLUENTD”

审核

审核日志字段到 UDM 字段

下表列出了审核日志类型的日志字段及其对应的 UDM 字段。

日志字段 UDM 字段
帐号 target.user.user_display_name
加法器 primary.ip
架构 about.labels.key/value
auid target.user.userid
cgroup primary.process.file.full_path
cmd target.process.command_line
通信 target.application
CWD target.file.full_path
数据 about.labels.key/value
Devmajor about.labels.key/value
devminor about.labels.key/value
Egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
退出 target.labels.key/value
系列 如果“ip_protocol”== 2,network.ip_protocol 会设置为“IP6IN4”,否则会设置为“UNKNOWN_IP_PROTOCOL”
文件类型 target.file.mime_type 中
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
主机名 target.hostname
icmptype network.ip_protocol 设置为“ICMP”
id 如果 [audit_log_type] == "ADD_USER",则会将 target.user.userid 设为“%{id}”

如果 [audit_log_type] == "ADD_GROUP",则会将 target.group.product_object_id 设为“%{id}”

else target.user.attribute.labels.key/value 设置为 ID

inode target.resource.product_object_id
security_result.detection_field.key/value
列表 security_result.about.labels.key/value
模式 target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

名称 target.file.full_path
新磁盘 target.resource.name
新内存 target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
new-net Pincipal.mac
new_gid target.group.product_object_id
Oauid target.user.userid
ocomm target.process.command_line
Opid target.process.pid
osos network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
Ogid target.group.product_object_id
ouid target.user.userid
路径 target.file.full_path
烫发 target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent.process.pid
proto 如果 [ip_protocol] == 2,network.ip_protocol 会设为“IP6IN4”

else network.ip_protocol 设置为“UNKNOWN_IP_PROTOCOL”

res security_result.summary
结果 security_result.summary
Saddr security_result.detection_field.key/value
Sauid target.user.attribute.labels.key/value
es network.session_id
gg target.group.product_object_id
签名 security_result.detection_field.key/value
subj_user target.user.user_display_name
成功 如果 success=='yes',则 security_result.summary 设置为“system call was successful”else security_result.summary 设置为“systemcall was failed”
SUID target.user.userid
系统调用 about.labels.key/value
终端 target.labels.key/value
TTY target.labels.key/value
UID 如果 [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_TARGET

else uid 设为 target.user.userid

虚拟机 target.resource.name

审核日志类型转换为 UDM 事件类型

下表列出了审核日志类型及其对应的 UDM 事件类型。

审核日志类型 UDM 事件类型 说明
添加群组 群组创建 在添加用户空间组时触发。
添加用户 用户名 在添加了用户空间用户帐号时触发。
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION 当进程异常终止时触发(如果启用,信号可能会导致核心转储)。
AVC 常规事件 触发以记录 SELinux 权限检查。
配置更改 USER_RESOURCE_UPDATE_CONTENT 在修改审核系统配置时触发。
CRED_ACQ USER_Login 当用户获取用户空间凭据时触发。
CRED_DISP USER_LOGOUT 当用户处置用户空间凭据时触发。
CRED_REFR USER_Login 当用户刷新其用户空间凭据时触发。
CRYPTO_KEY_USER USER_RESOURCE_ACCESS 触发以记录用于加密的加密密钥标识符。
加密会话 进程终止 触发后可记录 TLS 会话建立期间设置的参数。
1500 SYSTEM_AUDIT_LOG_UNCATEGORIZED 触发了以记录当前工作目录。
DAEMON_ABORT 进程终止 当守护进程因出错而停止时触发。
DAEMON_END 进程终止 当守护程序成功停止时触发。
DAEMON_RESUME PROCESS_UNCATEGORIZED 当 Auditd 守护程序恢复日志记录时触发。
DAEMON_ROTATE PROCESS_UNCATEGORIZED 当 Auditd 守护程序轮替审核日志文件时触发。
DAEMON_START 进程 启动 启动 Auditd 守护程序时触发。
DEL_GROUP 群组删除 在用户空间组被删除时触发
待处理 USER_DELETION 在用户空间用户被删除时触发
执行 进程 启动 触发以记录 execve(2) 系统调用的参数。
MAC_CONFIG_CHANGE 常规事件 当 SELinux 布尔值发生改变时触发。
MAC_IPSEC_事件 SYSTEM_AUDIT_LOG_UNCATEGORIZED 当检测到 IPSec 事件、检测到此类事件或 IPSec 配置发生变化时触发。
MAC_POLICY_LOAD 常规事件 当 SELinux 政策文件加载时触发。
MAC_STATUS 常规事件 当 SELinux 模式(强制、宽容、关闭)发生更改时触发。
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED 在使用 NetLabel 提供的内核的数据包标签功能添加静态标签时触发。
NETFilter_CFG 常规事件 当检测到 Netfilter 链修改时触发。
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED 触发以记录有关向其发送信号的进程的信息。
路径 FILE_OPEN/GENERIC_EVENT 触发以记录文件名路径信息。
SELINUX_ERR 常规事件 当检测到内部 SELinux 错误时触发。
SERVICE_START SERVICE_START 在服务启动时触发。
SERVICE_STOP SERVICE_STOP 在服务停止时触发。
通话 常规事件 触发了以记录对内核的系统调用。
SYSTEM_BOOT 状态_启动 在系统启动时触发。
SYSTEM_RUNLEVEL 状态更新 在系统的运行级别更改时触发。
SYSTEM_SHUTDOWN 状态 - 关闭 当系统关闭时触发。
USER ACCT SETTING_MODIFICATION(修改) 在修改用户空间用户帐号时触发。
USER_AUTH USER_Login 当检测到用户空间身份验证尝试时触发。
USER_AVC USER_UNCATEGORIZED 在生成用户空间 AVC 消息时触发。
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT 在修改用户帐号属性时触发。
USER_CMD 用户通信 在用户空间 shell 命令执行时触发。
USER_END USER_LOGOUT 当用户空间会话终止时触发。
USER_ERR USER_UNCATEGORIZED 当检测到用户帐号状态错误时触发。
USER_Login USER_Login 当用户登录时触发。
USER_LOGOUT USER_LOGOUT 当用户退出时触发。
USER_MAC_POLICY_LOAD RESOURCE_READ 当用户空间守护程序加载 SELinux 政策时触发。
USER MGMT USER_UNCATEGORIZED 触发了以记录用户空间管理数据。
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS 在用户的 SELinux 角色发生更改时触发。
USER_START USER_Login 在用户空间会话启动时触发。
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT 当检测到用户空间系统配置更改时触发。
VIRT_CONTROL 状态更新 在虚拟机启动、暂停或停止时触发。
VIRT_MACHINE_ID USER_RESOURCE_ACCESS 触发了以记录标签到虚拟机的绑定情况。
图像资源 USER_RESOURCE_ACCESS 触发以记录虚拟机的资源分配。

Mail

日志字段发送至 UDM 字段

下表列出了邮件日志类型的日志字段及其对应的 UDM 字段。

日志字段 UDM 字段
about.labels.key/value
Ctladdr primary.user.user_display_name
network.email.from
Msgid network.email.mail_id
协议 network.application_protocol
中继 intermediary.hostname

intermediary.ip

尺寸 network.received_bytes
状态 security_result.summary
更改为 network.email.to

邮件日志类型转换为 UDM 事件类型

下表列出了邮件日志类型及其对应的 UDM 事件类型。

邮件日志类型 UDM 事件类型
发送邮件 状态更新
pickup 发送电子邮件 UNCATEGORIZED
清理 状态更新
qmgr 发送电子邮件 UNCATEGORIZED
smtp 状态更新
本地 发送电子邮件 UNCATEGORIZED

后续步骤