收集 Fluentd 日志

本文档介绍了如何通过配置 Fluentd 和 Chronicle 转发器来收集 Fluentd 日志。本文档还列出了支持的日志类型和受支持的 Fluentd 版本。

如需了解详情，请参阅 Chronicle 的数据注入。

概览

以下部署架构图显示了如何在转发服务器和聚合器服务器上安装 Fluentd，以将日志发送到 Chronicle。每个客户部署可能与此表示不同，并且可能更复杂。

部署架构

架构图显示了以下组件：

Linux 系统。要监控的 Linux 系统。Linux 系统包含要监控的文件和 Fluentd 转发器服务器。
Microsoft Windows 系统。要监控的 Fluentd 转发器服务器的 Microsoft Windows 系统。
转发器转发器。Fluentd 转发器会从 Microsoft Windows 或 Linux 系统收集信息，并将这些信息转发给 Fluentd 聚合器。
集合商家。Fluentd 聚合器从 Fluentd 转发器接收日志，并将日志转发到 Chronicle 转发器。
记录器转发器。Chronicle 转发器是部署在客户网络中的轻量级软件组件，支持 syslog。 Chronicle 转发器会将日志转发到 Chronicle。
Chronicle。Chronicle 会保留和分析 Fluentd 聚合器的日志。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FLUENTD 提取标签的解析器。

准备工作

确保计划监控的 Microsoft Windows 或 Linux 系统上安装 Fluentd 转发器。如需详细了解如何安装 Fluentd 转发器，请参阅 Fluentd 安装
使用 Chronicle 解析器支持的 Fluentd 版本。Chronicle 解析器支持 Fluentd 1.0 版。
确保在中央 Linux 服务器上安装和配置 Fluentd 聚合器。
确保部署架构中的所有系统均采用世界协调时间 (UTC) 时区。

验证 Chronicle 解析器支持的日志类型。下表列出了 Chronicle 解析器支持的产品和日志文件路径：

操作系统	产品	日志文件路径
Microsoft Windows	Microsoft Windows	事件日志
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	Khunter	/var/log/rkhunter.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	露台	/var/log/rundeck/service.log
Linux	桑巴	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

配置 Fluentd 转发器和聚合器，以及 Chronicle 转发器

如需监控 Linux 系统生成的日志，请创建一个 td-agent.conf 文件，为 Fluentd 转发器指定日志监控配置。以下是 Linux 系统上的 Fluentd 转发器的示例配置文件：

<source>
@type tail
path /var/log/nginx/access.log
pos_file /var/log/td-agent/nginx-access.log.pos
tag mytag.nginx.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/nginx/error.log
pos_file /var/log/td-agent/nginx-error.log.pos
tag mytag.nginx.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/access.log
pos_file /var/log/td-agent/apache-access.log.pos
tag mytag.apache.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/error.log
pos_file /var/log/td-agent/apache-error.log.pos
tag mytag.apache.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/audit/audit.log
pos_file /var/log/td-agent/audit.log.pos
tag mytag.audit
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/syslog/syslog.log
pos_file /var/log/td-agent/syslog.log.pos
tag mytag.syslog
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/other_vhosts_access.log
pos_file /var/log/td-agent/vhost.log.pos
tag mytag.apache.other_vhosts_access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/novnc-server-access.log
pos_file /var/log/td-agent/novnc.log.pos
tag mytag.apache.novnc-server-access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/openvpnas.log
pos_file /var/log/td-agent/openvpnas.log.pos
tag mytag.openvpnas
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/auth.log
pos_file /var/log/td-agent/auth.log.pos
tag mytag.auth
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/kern.log
pos_file /var/log/td-agent/kern.log.pos
tag mytag.kern
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rundeck/service.log
pos_file /var/log/td-agent/rundeck.log.pos
tag mytag.rundeck
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/mail.log
pos_file /var/log/td-agent/mail.log.pos
tag mytag.mail
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rkhunter.log
pos_file /var/log/td-agent/rkhunter.log.pos
tag mytag.rkhunter
<parse>
@type none
</parse>
</source>

<source>
@type tail
Path /var/log/samba/log.winbindd
pos_file /var/log/td-agent/winbindd.log.pos
tag mytag.winbindd
<parse>
@type none
</parse>
</source>

<filter  mytag.**>
@type record_transformer
<record>
forwarder_hostname "#{Socket.gethostname}"
</record>
</filter>

<filter  mytag.nginx.access.**>
@type record_transformer
<record>
path "/var/log/nginx/access.log"
</record>
</filter>

<filter  mytag.nginx.error.**>
@type record_transformer
<record>
path "/var/log/nginx/error.log"
</record>
</filter>

<filter  mytag.apache.access.**>
@type record_transformer
<record>
path "/var/log/apache2/access.log"
</record>
</filter>

<filter  mytag.apache.error.**>
@type record_transformer
<record>
path "/var/log/apache2/error.log"
</record>
</filter>

<filter  mytag.audit.**>
@type record_transformer
<record>
path "/var/log/audit/audit.log"
</record>
</filter>

<filter  mytag.syslog.**>
@type record_transformer
<record>
path "/var/log/syslog/syslog.log"
</record>
</filter>

<filter  mytag.apache.other_vhosts_access.**>
@type record_transformer
<record>
path "/var/log/apache2/other_vhosts_access.log"
</record>
</filter>

<filter  mytag.apache.novnc-server-access.**>
@type record_transformer
<record>
path "/var/log/apache2/novnc-server-access.log"
</record>
</filter>

<filter mytag.openvpnas.**>
@type record_transformer
<record>
path "/var/log/openvpnas.log"
</record>
</filter>

<filter mytag.auth.**>
@type record_transformer
<record>
path "/var/log/auth.log"
</record>
</filter>

<filter mytag.kern.**>
@type record_transformer
<record>
path "/var/log/kern.log"
</record>
</filter>

<filter mytag.rundeck.**>
@type record_transformer
<record>
path "/var/log/rundeck/service.log"
</record>
</filter>

<filter mytag.mail.**>
@type record_transformer
<record>
path "/var/log/mail.log"
</record>
</filter>

<filter mytag.rkhunter.**>
@type record_transformer
<record>
path "/var/log/rkhunter.log"
</record>
</filter>

<filter mytag.winbindd.**>
@type record_transformer
<record>
path "/var/log/samba/log.winbindd"
</record>
</filter>

<match mytag.**>
@type forward
# primary host
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
</server>
</match>

如需监控 Microsoft Windows 系统生成的日志，请创建一个 td-agent.conf 文件，以指定 Fluentd 转发器的日志监控配置。以下是 Microsoft Windows 系统上的 Fluentd 转发器的示例配置文件：

<source>
@type windows_eventlog
@id windows_eventlog
channels application,security,system
read_existing_events true
read_interval 2
tag windows.raw
render_as_xml true
<storage>
@type local
persistent true
path E:\windows.pos
</storage>
</source>
<match windowslog>
@type forward
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
username <AGGREGATOR_USERNAME>
password <AGGREGATOR_PASSWORD>
</server>
</match>

如需将日志从 Fluentd 聚合器转发到 Chronicle 转发器，请按照以下格式创建配置文件：

<source>
@type forward
port <AGGREGATOR_PORT>
</source>

## Forwarding
<match mytag.**>
@id output_system_forward
@type forward
# IP and port of the forwarder
<server>
 host <CHRONICLE_FORWARDER_HOSTNAME>
 port <CHRONICLE_FORWARDER_PORT>
</server>
</match>

配置 Chronicle 转发器，以将日志发送到 Cronicle。如需了解详情，请参阅在 Linux 上安装和配置转发器。以下是 Chronicle 转发器配置示例：
```
common:
  enabled: true
  data_type: FLUENTD
  batch_n_seconds: 10
  batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
connection_timeout_sec: 60
```

字段映射参考文档

本部分说明解析器如何为 Linux 和 Microsoft Windows 系统应用杂乱模式，以及如何将 Fluentd 日志字段映射到每种日志类型的 Chronicle 统一数据模型 (UDM) 字段。

如需了解如何映射通用字段，请参阅通用字段

如需了解有关日志路径、示例日志、Linux 系统上的事件类型和 UDM 字段的参考信息，请参阅以下部分：

Linux
审核
审核日志事件类型
邮件
邮件日志事件类型

如需了解支持的 Microsoft Windows 事件和相应的 UDM 字段，请参阅 Microsoft Windows 事件数据

常用字段

下表列出了常见的日志字段及其对应的 UDM 字段。

通用日志字段	UDM 字段
收集时间	metadata.collected_timestamp
inner_message.message	inner_message
inner_message.forwarder_hostname	target.hostname 或 principal.hostname
inner_message.path	event_source

Linux 系统

下表列出了 Linux 系统的日志路径、示例日志的异常模式、事件类型以及 UDM 映射：

日志路径	日志示例	槽型	事件类型	UDM 映射
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] 连接失败	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.verity pid 已映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 映射到 principal.port error_message 映射到 security_result.description network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] 无法建立连接	[{timestamp}][{log_module}:{verity}][pid{pid}（<optional_field>:tid{tid}\|）]{error_message}	NETWORK_UNCATEGORIZED	时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.verity pid 已映射到 target.process.parent_process.pid tid 映射到 target.process.pid error_message 映射到 security_result.description network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094：命令行：“'/usr/sbin/apache2”	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” 时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.verity pid 已映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 映射到 principal.port error_message 映射到 security_result.description target.platform 设为“LINUX” Referer_url 映射到 network.http.referral_url
/var/log/apache2/error.log	]	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [客户端 {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer?refererurl)	NETWORK_HTTP	时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.verity pid 已映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 映射到 principal.port error_message 映射到 security_result.description target_ip 映射到 target.ip Referer_url 映射到 network.http.referral_url network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/error.log	[Sat 202 00:30:55 2019] 新连接：[connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	时间戳映射到 metadata.event_timestamp client_ip 映射到 principal.ip client_port 映射到 principal.port connection_id 已映射到 network.session_id network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/error.log	[Sat 2002 00:30:55 2019] 新请求：[connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	时间戳映射到 metadata.event_timestamp request_id 映射到 security_result.detection_fields.（键/值） client_ip 映射到 principal.ip client_port 映射到 principal.port pid 已映射到 target.process.parent_process.pid connection_id 已映射到 network.session_id network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/error.log	[ 。]	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	时间戳映射到 metadata.event_timestamp log_level 映射到 security_result.verity request_id 映射到 security_result.detection_fields.（键/值） client_ip 映射到 principal.ip client_port 映射到 principal.port pid 已映射到 target.process.parent_process.pid connection_id 已映射到 network.session_id error_message 映射到 security_result.description file_path 会映射到 target.file.full_path network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/access.log	192.0.2.1 - - [28/4 月/2022:17:35:52 +0530] “GET / HTTP/1.1” 200 3476 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) Apple.3	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)?(<optional_field>{user_agent}?)?	NETWORK_HTTP	client_ip 映射到 principal.ip userid 已映射到 principal.user.userid 主机已映射到 principal.hostname 时间戳映射到 metadata.event_timestamp 方法会映射到 network.http.method 资源映射到 principal.resource.name client_protocol 映射到 network.application_protocol result_status 映射到 network.http.response_code object_size 会映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设为 OUTBOUND network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
var/log/apache2/other_vhosts_access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}：{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host 映射到 target.hostname target_port 映射到 target.port client_ip 映射到 principal.ip userid 已映射到 principal.user.userid 主机已映射到 principal.hostname 时间戳映射到 metadata.event_timestamp 方法会映射到 network.http.method 资源映射到 principal.resource.name result_status 映射到 network.http.response_code object_size 会映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设为 OUTBOUND target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” network.application_protocol 设为“HTTP”
var/log/apache2/novnc-server-access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\"	{target_host}：{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	client_ip 映射到 principal.ip userid 已映射到 principal.user.userid 方法会映射到 network.http.method 路径映射到 target.url result_status 映射到 network.http.response_code object_size 会映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设为 OUTBOUND target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” network.application_protocol 设为“HTTP”
/var/log/apache2/access.log	"http://192.0.2.1/test/first.html" -> /google.com	(<optional_field>{referer_url}?)->(<可选字段>{path}?)	GENERIC_EVENT	路径映射到 target.url Referer_url 映射到 network.http.referral_url network.direction 设为 OUTBOUND target.platform 设为“LINUX” network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	（<可选字段>{user_agent}）	GENERIC_EVENT	user_agent 映射到 network.http.user_agent network.direction 设为 OUTBOUND target.platform 设为“LINUX” network.application_protocol 设为“HTTP” target.platform 设为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server”
var/log/nginx/access.log	。	{principal_ip} -（<optional_field>{principal_user_userid}？）[{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	时间映射到元数据。时间戳 ip 映射到 target.ip principal_ip 映射到 principal.ip principal_user_userid 映射到 principal.user.userid metadata_timestamp 映射到时间戳 http_method 映射到 network.http.method resource_name 映射到 principal.resource.name 协议映射到 network.application_protocol = (HTTP) response_code 映射到 network.http.response_code receive_bytes 会映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent target.platform 设为“LINUX” metadata.vendor_name 设置为“NGINX” metadata.product_name 设置为“NGINX” network.ip_protocol 设置为“TCP” network.direction 设为 OUTBOUND
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" 失败（2：没有此类文件或目录），客户端：192.0.2.1，服务器：localhost，请求：\"GET /nginx_status\" 0.8:0:02:12	"{year}\/{month}\/{day}{time}[{verity}]{pid}#{thread_id}:{inner_message2} inner_message2 对应的是“{security_result_description_2}”，客户端：{principal_ip}，server:（<可选字段>{target_hostname}？）请求：{http_method} /(<可选字段>{resource_name}?){protocol}/1.1",host:({target_ip}:{target_port})?" "bind() 到 ({target_ip}\|[{target_ip}]):{target_port} 失败 ({security_description})， “\*{cid}{security_description}”， “{security_description}”	NETWORK_HTTP	threads_id 映射到 principal.process.pid verity 会映射到 security_result.verity （调试已映射到 UNKNOWN_SEVERITY，信息已映射到 INFORMATIONAL，通知已映射到 LOW，警告已映射到 MEDIUM，错误已映射到 ERROR，crit 已映射到 CRITICAL，提醒已映射到 HIGH） target_file_full_path 映射到 target.file.full_path principal_ip 映射到 principal.ip target_hostname 映射到 target.hostname http_method 映射到 network.http.method resource_name 映射到 principal.resource.name 协议映射到“TCP” target_ip 映射到 target.ip target_port 映射到 target.port security_description + security_result_description_2 映射到 security_result.description pid 已映射到 principal.process.parent_process.pid network.application_protocol 设为“HTTP” 时间戳映射到 {year}/{day}/{month} {time} target.platform 设为“LINUX” metadata.vendor_name 设置为“NGINX” metadata.product_name 设置为“NGINX” network.ip_protocol 设置为“TCP” network.direction 设为 OUTBOUND
var/log/rkhunter.log	[14:10:40] 所需的命令检查失败	[<message_text>]{security_description}	状态更新	时间映射到元数据。时间戳 security_description 与 security_result.description 相对应 principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter”
var/log/rkhunter.log	[14:09:52] 检查文件“/dev/.oz/.nap/rkit/terror”[未找到]	[<message_text>] {security_description} {file_path}[\{metadata_description}]	未提交文件	metadata_description 映射到 metadata.description file_path 会映射到 target.file.full_path security_description 与 security_result.description 相对应 principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter”
var/log/rkhunter.log	fluentd：缩减了文件大小（保留 inode）：“/var/log/rkhunter.log”。	(<optional_field><message_text>:){metadata_description}:'{file_path}'	未提交文件	时间映射到元数据。时间戳 metadata_description 映射到 metadata.description file_path 会映射到 target.file.full_path principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter”
/var/log/kern.log	4 月 28 日 12:41:35 localhost 内核：[ 5079.912215] ctnetlink v0.93：向 nfnetlink 注册。	{timestamp}{principal_hostname}{metadata_product_event_type}：[<message_text>]{metadata_description}	状态更新	时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” metadata_description 映射到“metadata.description” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX”
/var/log/kern.log	7 月 6 日 11:17:01 Ubuntu18 内核：[0.030139] smpboot：CPU0：Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz（系列：0x6，型号：0x55，步进：0x7）	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” principal_asset_hardware_cpu_model 映射到“principal.asset.hardware.cpu_model” metadata_description 映射到“metadata.description” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX” cpu_model 映射到 principal.asset.hardware.cpu_model
/var/log/syslog.log	5 月 24 日 10:30:42 Ubuntu18 systemd[1]：启动了用户 kajal 的会话 112。	{collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}])：{message}	STATUS_UPDATE	collection_time 映射到 metadata.event_timestamp 主机名已映射到 principal.hostname pid 已映射到 principal.process.pid 消息会映射到 metadata.description metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX” Command_line 映射到 principal.process.command_line
/var/log/syslog.log	7 月 6 日 10:14:37 Ubuntu18 rsyslogd：rsyslogd 的 userid 已更改为 102	{collected_timestamp}{hostname}{command_line}：{message}发送到 {user_id}	STATUS_UPDATE	collection_time 映射到 metadata.collected_timestamp 主机名已映射到 principal.hostname 消息会映射到 metadata.description user_id 已映射到 principal.user.userid Command_line 映射到 principal.process.command_line metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX”
/var/log/syslog.log	7 月 6 日 10:36:48 Ubuntu18 systemd[1]：正在启动系统日志记录服务...	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}])：{message}	STATUS_UPDATE	collection_time 映射到 metadata.event_timestamp 主机名已映射到 principal.hostname pid 已映射到 principal.process.pid 消息会映射到 metadata.description metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX” Command_line 映射到 principal.process.command_line
var/log/openvpnas.log	。	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	时间戳映射到 metadata.timestamp log_level 映射到 security_result.verity local_ip 映射到 principal.ip target_ip 映射到 target.ip target_hostname 映射到 principal.hostname 端口映射到 target.port 用户映射到 principal.user.user_display_name metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX”
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT：2022-04-28 16:14:13 库版本：OpenSSL 1.1.1 11 9 月 2018，LZO 2.08	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	状态更新	时间戳映射到 metadata.timestamp log_level 映射到 security_result.verity msg 与 security_result.description 相对应 metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX”
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT：2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'\|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'\|" 消息被映射到 (net_addr_v4_add\|net_route_v4_best_gw)：{target_ip}/{target_port}	状态更新	principal.platform 设置为“LINUX” target_ip 映射到 target.ip target_port 映射到 target.port verity 会映射到 security_result.verity 时间戳映射到 metadata.timestamp metadata.vendor_name 设置为 OpenVPN metadata.product_name 设置为 OpenVPN Access Server
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN]2	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") 消息会映射到 <message_text> with[<message_text>]<message_text>:{port}<message_text>	状态更新	时间戳映射到 metadata.timestamp log_level 映射到 security_result.verity metadata.vendor_name 设置为 OpenVPN metadata.product_name 设置为 OpenVPN Access Server principal.platform 设置为 Linux target_ip 映射到 target.ip target_port 映射到 target.port target_hostname 映射到 target.hostname intermediary_ip 已映射到 mediamediary.ip。
var/log/openvpnas.log	。	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{user}\/{ip}:{message}(<optional_field>'\|")	状态更新	时间戳映射到 metadata.timestamp log_level 映射到 security_result.verity 消息会映射到 metadata.description 用户会映射到 target.hostname ip 映射到 target.ip 端口映射到 taregt.port metadata.vendor_name 设置为 OpenVPN metadata.product_name 设置为 OpenVPN Access Server principal.platform 设置为 Linux
var/log/openvpnas.log	。	{timestamp}[stdout#{log_level}]{summary}{'<message_text>':{status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	状态更新	时间戳映射到 metadata.timestamp log_level 映射到 security_result.verity 消息会映射到 security_result.description 摘要会映射到 security_result.summary user_name 已映射到 principal.user.user_display_name CLI 映射到 principal.process.command_line 状态已映射到 principal.user.user_authentication_status metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX”
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap - 通过点表示法访问配置键“[filterNames]”的功能已被弃用，并将在未来的版本中移除。请改用“config.getProperty(key, targetClass)”。	[{timestamp}]{verity}{summary}\-{security_description} ，位于 {command_line}${file_path}:<message_text>$	状态更新	“command_line”映射到“target.process.command_line” file_path 映射到“target.process.file.full_path” 时间戳映射到“metadata.event_timestamp” verity 会映射到“security_result.verity” 摘要会映射到“security_result.summary” security_description 被映射到“security_result.description” metadata.product_name 设置为“FLUENTD” metadata.vendor_name 设置为“FLUENTD”
/var/log/auth.log	7 月 4 日 19:26:19 Ubuntu18 systemd-logind[982]：移除了会话 153。	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of{principal_user_userid})?	USER_LOGOUT	时间戳映射到“metadata.timestamp” 如果主键的值为“USER_LOGOUT”，则将主帐号主机名映射到 target.hostname，否则映射到主帐号。主帐号会映射到 target.application（如果值为“USER_LOGOUT”），否则映射到“principal.application” 如果值为“USER_LOGOUT”，则 pid 会映射到 target.process.pid，否则，系统会将其映射到 principal.process.pid。 security_description 被映射到“security_result.description” network_session_id 映射到“network.session_id” 如果主键的值为“USER_LOGOUT”，则 principal_user_userid 会映射到 principal.user.userid；否则，会映射到 target.user.userid。 “principal.platform”设置为“LINUX” 如果 event security_description 已移除，则 event_type 会设置为 USER_LOGOUT。 extensions.auth.type 设为 AUTHTYPE_UNSPECIFIED metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/auth.log	6 月 27 日 11:07:17 Ubuntu18 systemd-logind[804]：用户根的新会话 564。	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of{principal_user_userid})?	用户登录	时间戳映射到“metadata.timestamp” 如果主键的值为“USER_LOGOUT”，则将主帐号主机名映射到 target.hostname，否则映射到主帐号。主帐号会映射到 target.application（如果值为“USER_LOGOUT”），否则映射到“principal.application” 如果值为“USER_LOGOUT”，则 pid 会映射到 target.process.pid，否则，系统会将其映射到 principal.process.pid。 security_description 被映射到“security_result.description” network_session_id 映射到“network.session_id” 如果主键的值为“USER_LOGOUT”，则 principal_user_userid 会映射到 principal.user.userid；否则，会映射到 target.user.userid。 “principal.platform”设置为“LINUX” “network.application_protocol”映射到“SSH” if(new_session) event_type 已设置为 USER_LOGIN extensions.auth.type 设为 AUTHTYPE_UNSPECIFIED metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/auth.log	6 月 27 日 11:07:17 Ubuntu18 sshd[9349]：接受来自 198.51.100.1 端口 57619 ssh2 的 root 密码	来自 {principal_ip} 端口 {principal_port} 的 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} ({security_description})？{principal_user_userid}	用户登录	时间戳映射到“metadata.timestamp” 如果主键的值为“USER_LOGOUT”，则将主帐号主机名映射到 target.hostname，否则映射到主帐号。主帐号会映射到 target.application（如果值为“USER_LOGOUT”），否则映射到“principal.application” 如果值为“USER_LOGOUT”，则 pid 会映射到 target.process.pid，否则，系统会将其映射到 principal.process.pid。 security_description 被映射到“security_result.description” 如果主键的值为“USER_LOGOUT”，则 principal_user_userid 会映射到 principal.user.userid；否则，会映射到 target.user.userid。 principal_ip 映射到“principal.ip” principal_port 映射到“principal.port” security_result_detection_fields_ssh_kv 映射到“security_result.detection_fields.key/value” security_result_detection_fields_kv 映射到“security_result.detection_fields.key/value” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/auth.log	4 月 28 日 11:51:13 Ubuntu18 sudo[24149]：root : TTY=pts/5 ; PWD=/ ; USER=root ; command=/bin/ls	{	状态更新	时间戳映射到 metadata.timestamp principal_hostname 映射到 principal.hostname principal_application 映射到 principal.application pid 已映射到 principal.process.pid principal_user_userid 映射到 target.user.userid security_description 被映射到“security_result.description” principal_process_command_line_1 映射到“principal.process.command_line” principal_process_command_line_2 映射到“principal.process.command_line” principal_user_attribute_labels_uid_kv 映射到“principal.user.attribute.labels.key/value” “principal.platform”设置为“LINUX”
/var/log/auth.log	7 月 4 日 19:39:01 Ubuntu18 CRON[17217]：pam_unix(cron:session)：用户根会话打开 (uid=0)	{timestamp} {principal_hostname}{principal_application} (<OPTIONAL_field>[{pid}])<optional_field> ({security_description})（无效用户\|用户）？{principal_user_userid}（由 uid={principal_user_attribute_labels_uid_kv}））$	用户登录	时间戳映射到 metadata.timestamp 如果主键的值为“USER_LOGOUT”，则将主帐号主机名映射到 target.hostname，否则映射到主帐号。主帐号会映射到 target.application（如果值为“USER_LOGOUT”），否则映射到“principal.application” 如果值为“USER_LOGOUT”，则 pid 会映射到 target.process.pid，否则，系统会将其映射到 principal.process.pid。 security_description 被映射到“security_result.description” 如果主键的值为“USER_LOGOUT”，则 principal_user_userid 会映射到 principal.user.userid；否则，会映射到 target.user.userid。 principal_user_attribute_labels_uid_kv 映射到“principal.user.attribute.labels.key/value” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/auth.log	7 月 4 日 19:24:43 Ubuntu18 sshd[14731]：pam_unix(sshd:session)：用户根会话已关闭	{timestamp} {principal_hostname}{principal_application}<OPTIONAL_filed>[{pid}]）：{security_description}（无效用户\|用户）{principal_user_userid}	USER_LOGOUT	时间戳映射到 metadata.timestamp 如果主键的值为“USER_LOGOUT”，则将主帐号主机名映射到 target.hostname，否则映射到主帐号。主帐号会映射到 target.application（如果值为“USER_LOGOUT”），否则映射到“principal.application” 如果值为“USER_LOGOUT”，则 pid 会映射到 target.process.pid，否则，系统会将其映射到 principal.process.pid。 security_description 被映射到“security_result.description” 如果主键的值为“USER_LOGOUT”，则 principal_user_userid 会映射到 principal.user.userid；否则，会映射到 target.user.userid。 principal_user_attribute_labels_uid_kv 映射到 principal.user.attribute.labels.key/value “principal.platform”设置为“LINUX” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/auth.log	6 月 30 日 11:32:26 Ubuntu18 sshd[29425]：通过对用户根 198.51.100.1 端口 52518 进行身份验证重置连接 [preauth]	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from\|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]\|:<text_message>{security_summary}\|)	USER_LOGOUT	时间戳映射到 metadata.timestamp 如果主键的值为“USER_LOGOUT”，则将主帐号主机名映射到 target.hostname，否则映射到主帐号。主帐号会映射到 target.application（如果值为“USER_LOGOUT”），否则映射到“principal.application” 如果值为“USER_LOGOUT”，则 pid 会映射到 target.process.pid，否则，系统会将其映射到 principal.process.pid。 security_description 与 security_result.description 相对应 security_summary 对应于 security_result.summary 如果主键的值为“USER_LOGOUT”，则 principal_user_userid 会映射到 principal.user.userid；否则，会映射到 target.user.userid。 target_ip 映射到 target.ip target_port 映射到 target.port” principal.platform 设置为“LINUX” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
var/log/samba/log.winbindd	[2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: 清除缓存并用版本 2 重新创建	{timestamp},{verity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	状态更新	时间戳映射到“metadata.timestamp” pid 已映射到“principal.process.pid” principal_user_attribute_labels_kv 映射到“principal.user.attribute.labels” principal_group_attribute_labels_kv 映射到“principal.group.attribute.labels” principal_user_userid 映射到“principal.user.userid” principal_group_product_object_id 映射到“principal.group.product_object_id” security_description 被映射到“security_result.description” metadata_description 映射到“metadata.description” metadata.product_name”设置为“FLUENTD” metadata.vendor_name”设置为“FLUENTD”
var/log/samba/log.winbindd	Messaging_dgm_init：绑定失败：设备上没有剩余空间	{user_id}：{desc}	状态更新	metadata.product_name”设置为“FLUENTD” metadata.vendor_name”设置为“FLUENTD” user_id 已映射到 principal.user.userid desc 映射到 metadata.description
/var/log/mail.log	。	{timestamp} {target_hostname} {application}[{pid}]：<message_text>:{KV}	状态更新	target_hostname 映射到 target.hostname 应用会映射到 target.application pid 已映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/mail.log	7 月 7 日 13:44:01 prod postfix/pickup[22580]：AE4271627DB: uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]：<message_text>{KV}	发送电子邮件_未分类	target_hostname 映射到 target.hostname 应用会映射到 target.application pid 已映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/mail.log	7 月 7 日 13:44:01 prod postfix/cleanup[23434]：AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01>	{timestamp} {target_hostname} {application}[{pid}]：<message_text> message-id=<{resource_name}>	状态更新	target_hostname 映射到 target.hostname 应用会映射到 target.application pid 已映射到 target.process.pid resource_name 映射到 target.resource.name metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/mail.log	7 月 7 日 13:44:01 prod postfix/qmgr[3539]：AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active)	{timestamp} {target_hostname} {application}[{pid}]：<message_text>{KV}	发送电子邮件_未分类	target_hostname 映射到 target.hostname 应用会映射到 target.application pid 已映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/mail.log	7 月 7 日 13:44:01 prod postfix/smtp[23436]：连接到 gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25：网络无法访问	{timestamp} {target_hostname} {application}[{pid}]：<message_text>{KV}	状态更新	target_hostname 映射到 target.hostname 应用会映射到 target.application pid 已映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”
/var/log/mail.log	7 月 7 日 13:44:02 prod postfix/local[23439]：E62521627DC：to=<root@server.hostname.01>、relay=local、latency=0.01、latency=0/0.01/0/0、dsn=2.0.0、status=sent（已递送到邮箱）	{timestamp} {target_hostname} {application}[{pid}]：<message_text>{KV}	发送电子邮件_未分类	target_hostname 映射到 target.hostname 应用会映射到 target.application pid 已映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD”

审核

审核日志字段到 UDM 字段

下表列出了审核日志类型的日志字段及其对应的 UDM 字段。

日志字段	UDM 字段
帐号	target.user.user_display_name
添加方式	principal.ip
架构	about.labels.key/value
auid	target.user.userid
cgroup	principal.process.file.full_path
cmd	target.process.command_line
通信	target.application
25	target.file.full_path
数据	about.labels.key/value
Devmajor	about.labels.key/value
devminor	about.labels.key/value
Egid	target.group.product_object_id
euid	target.user.userid
示例	target.process.file.full_path
退出	target.labels.key/value
家庭	如果“ip_protocol”== 2，则 network.ip_protocol 设置为“IP6IN4”，否则它设置为“UNKNOWN_IP_PROTOCOL”
文件类型	target.file.mime_type
fsgid	target.group.product_object_id
fsuid	target.user.userid
gid	target.group.product_object_id
主机名	target.hostname
ICMP 类型	将 network.ip_protocol 设置为“ICMP”
id	如果 [audit_log_type] == "ADD_USER"，则 target.user.userid 设为 "%{id}" 如果 [audit_log_type] == "ADD_GROUP"，则 target.group.product_object_id 设为 "%{id}" else target.user.attribute.labels.key/value 设置为 id
inode	target.resource.product_object_id
键	security_result.detection_fields.key/value
列表	security_result.about.labels.key/value
模式	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
名称	target.file.full_path
新磁盘	target.resource.name
新内存	target.resource.attribute.labels.key/value
new-vcpu	target.resource.attribute.labels.key/value
new-net	pincipal.mac
new_gid	target.group.product_object_id
ouid	target.user.userid
ocomm	target.process.command_line
OPID	target.process.pid
oses	network.session_id
ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
Ogid	target.group.product_object_id
ouid	target.user.userid
路径	target.file.full_path
权限	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
proto	如果 [ip_protocol] == 2，请将 network.ip_protocol 设置为“IP6IN4”。 else network.ip_protocol 设置为“UNKNOWN_IP_PROTOCOL”
res	security_result.summary
结果	security_result.summary
Saddr	security_result.detection_fields.key/value
萨伊德	target.user.attribute.labels.key/value
ses	network.session_id
sgid	target.group.product_object_id
Sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
成功	如果成功=='是'，security_result.summary 设置为“系统调用成功” else security_result.summary 设置为“systemcall failed”
Suid	target.user.userid
系统调用	about.labels.key/value
终端	target.labels.key/value
Tty	target.labels.key/value
uid	如果 [SYSCALL、SERVICE_START、ADD_GROUP、ADD_USER、MAC_IPSEC_EVENT、MAC_UNLBL_STCADD、OBJ_PID、CONFIG_CHANGE、SECCOMP、USER_CHAUTHTOK、USYS_CONFIG、DEL_GROUP、DEL_USER set_USER_USER_UID 为 USER_POLICY USER_USER_USER_USER_UID 值， else uid 已设置为 target.user.userid
虚拟机	target.resource.name

审核日志类型转换为 UDM 事件类型

下表列出了审核日志类型及其对应的 UDM 事件类型。

审核日志类型	UDM 事件类型	说明
添加群组	组创建	在用户空间组添加用户时触发。
添加用户	创建用户	当添加了用户空间用户帐号时触发。
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	在进程异常结束时触发（如果已启用信号，可能会导致信号转储）。
AVC	GENERIC_EVENT	触发了记录 SELinux 权限检查的触发事件。
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	修改审核系统配置时触发。
CRED_ACQ	用户登录	在用户获取用户空间凭据时触发。
CRED_DISP	USER_LOGOUT	当用户处置用户空间凭据时触发。
CRED_REFR	用户登录	当用户刷新其用户空间凭据时触发。
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	触发以记录用于加密的加密密钥标识符。
CRYPTO_SESSION	进程终止	触发以在 TLS 会话建立期间记录参数时触发。
250	SYSTEM_AUDIT_LOG_UNCATEGORIZED	触发以记录当前工作目录。
DAEMON_ABORT	进程终止	守护程序因出错而停止时触发。
DAEMON_END	进程终止	守护程序成功停止时触发。
DAEMON_RESUME	未处理的阶段	当 Auditd 守护程序恢复日志记录时触发。
DAEMON_ROTATE	未处理的阶段	当 Auditd 守护程序轮替审核日志时触发。
DAEMON_START	流程	当已审核的守护程序启动时会触发。
删除群组	群组删除	在用户空间组被删除时触发
待处理	删除用户	在用户空间用户被删除时触发
执行	流程	触发以记录 execve(2) 系统调用的参数。
MAC_CONFIG_CHANGE	GENERIC_EVENT	当 SELinux 布尔值发生更改时触发。
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	触发后记录与 IPSec 事件相关的信息，当检测到 IPSec 事件时或 IPSec 配置发生变化时。
MAC_POLICY_LOAD	GENERIC_EVENT	当 SELinux 政策文件加载时触发。
MAC_STATUS	GENERIC_EVENT	当 SELinux 模式（强制、宽容、关闭）发生更改时触发。
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	在使用 NetLabel 提供的内核的数据包标签功能添加静态标签时触发。
NETFilter_CFG	GENERIC_EVENT	当检测到 Netfilter 链修改时触发。
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	触发了，记录有关信号发送到的进程的信息。
路径	FILE_OPEN/GENERIC_EVENT	会触发以记录文件名路径信息。
SELINUX_ERR	GENERIC_EVENT	当检测到内部 SELinux 错误时触发。
SERVICE_START	SERVICE_START	在服务启动时触发。
SERVICE_STOP	SERVICE_STOP	在服务停止时触发。
SYSCALL	GENERIC_EVENT	触发是为了记录对内核的系统调用。
SYSTEM_BOOT	STATUS_STARTUP	在系统启动时触发。
SYSTEM_RUNLEVEL	STATUS_UPDATE	在系统的运行级别更改时触发。
SYSTEM 关闭	状态：关闭	在系统关机时触发。
USER_ACCT	SET_ING_MODIFICATION（设置修改）	在用户空间用户帐号修改时触发。
USER_AUTH	用户登录	在检测到用户空间身份验证尝试时触发。
USER_AVC	USER_UNCATEGORIZED	在生成用户空间 AVC 消息时触发。
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	在修改用户帐号属性时触发。
USER_CMD	用户通信	在执行用户空间 shell 命令时触发。
用户_END	USER_LOGOUT	在用户空间会话终止时触发。
USER_ERR	USER_UNCATEGORIZED	当检测到用户帐号状态错误时触发。
用户登录	用户登录	在用户登录时触发。
USER_LOGOUT	USER_LOGOUT	在用户退出时触发。
USER_MAC_POLICY_LOAD	RESOURCE_READ	当用户空间守护程序加载 SELinux 政策时触发。
USER_MGMT	USER_UNCATEGORIZED	触发以记录用户空间管理数据。
用户角色	USER_CHANGE_PERMISSIONS	当用户的 SELinux 角色发生更改时触发。
USER_START	用户登录	在用户空间会话启动时触发。
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	当检测到用户空间系统配置更改时触发。
VIRT_CONTROL	STATUS_UPDATE	在虚拟机启动、暂停或停止时触发。
虚拟 MACHINE_ID	USER_RESOURCE_ACCESS	触发了记录标签与虚拟机的绑定的操作。
VIRT_资源	USER_RESOURCE_ACCESS	触发以记录虚拟机的资源分配。

Mail

邮件日志字段转换为 UDM 字段

下表列出了邮件日志类型的日志字段及其对应的 UDM 字段。

日志字段	UDM 字段
类	about.labels.key/value
Ctladdr	principal.user.user_display_name
从	network.email.from
Msgid	network.email.mail_id
Proto	network.application_protocol
中继	intermediary.hostname intermediary.ip
大小	network.received_bytes
状态	security_result.summary
至	network.email.to

邮件日志类型转换为 UDM 事件类型

下表列出了邮件日志类型及其对应的 UDM 事件类型。

邮件日志类型	UDM 事件类型
发送邮件	状态更新
上车点	发送电子邮件_未分类
清理	状态更新
qmgr	发送电子邮件_未分类
SMTP	状态更新
本地	发送电子邮件_未分类

后续步骤

将数据注入到 Chronicle