OSSEC-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie OSSEC-Logs erfassen, indem Sie OSSEC und einen Google Security Operations-Weiterleiter konfigurieren. In diesem Dokument sind auch die unterstützten Protokolltypen und die unterstützte OSSEC-Version aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Übersicht
Das folgende Diagramm zur Bereitstellungsarchitektur zeigt, wie OSSEC-Agenten und ‑Server konfiguriert werden, um Protokolle an Google Security Operations zu senden. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem OSSEC-Agenten.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, auf dem der OSSEC-Agent installiert ist.
OSSEC-Agent Der OSSEC-Agent erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den OSSEC-Server weiter.
OSSEC-Server Der OSSEC-Server überwacht und empfängt Informationen von den OSSEC-Agenten, analysiert die Protokolle und leitet sie an den Google Security Operations-Weiterleiter weiter.
Google Security Operations-Weiterleitung Der Google Security Operations-Weiterleiter ist eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und syslog unterstützt. Der Google Security Operations-Weiterleiter leitet die Protokolle an Google Security Operations weiter.
Google Security Operations Google Security Operations speichert und analysiert die Logs vom OSSEC-Server.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel OSSEC.
Hinweise
Der OSSEC-Agent muss auf den Microsoft Windows- oder Linux-Systemen installiert sein, die Sie überwachen möchten. Weitere Informationen zur Installation des OSSEC-Agents finden Sie unter OSSEC-Installation.
Verwenden Sie eine OSSEC-Version, die vom Google Security Operations-Parser unterstützt wird. Der Google Security Operations-Parser unterstützt OSSEC-Version 3.6.0.
Der OSSEC-Server muss auf dem zentralen Linux-Server installiert und konfiguriert sein.
Prüfen Sie, welche Protokolltypen vom Google Security Operations-Parser unterstützt werden. In der folgenden Tabelle sind die Produkte und Pfadnamen von Protokolldateien aufgeführt, die vom Google Security Operations-Parser unterstützt werden:
Betriebssystem Produkt Pfad zur Protokolldatei Microsoft Windows Microsoft Windows Ereignisprotokolle Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux – OSSEC-Server OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.
OSSEC-Agent und ‑Server sowie Google Security Operations-Weiterleitung konfigurieren
So konfigurieren Sie den OSSEC-Agenten und -Server sowie den Google Security Operations-Weiterleiter:
Wenn Sie die von den Linux-Systemen generierten Protokolle überwachen möchten, erstellen Sie eine
ossec.conf-Datei, um die Protokollüberwachungskonfiguration für den Agenten anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agenten auf dem Linux-System:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Wenn Sie die von den Microsoft Windows-Systemen generierten Protokolle überwachen möchten, erstellen Sie eine
ossec.conf-Datei, um die Protokollüberwachungskonfiguration für den Agenten anzugeben. Hier ist ein Beispiel für eine Konfigurationsdatei für den Agenten auf dem Microsoft Windows-System:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Wenn Sie die Protokolle vom OSSEC-Server über das syslog-Protokoll an Google Security Operations weiterleiten möchten, erstellen Sie die OSSEC-Serverkonfigurationsdatei
syslog.confim folgenden Format:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Konfigurieren Sie den Google Security Operations-Weiterleiter so, dass Protokolle an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration eines Google Security Operations-Weiterleitungsservers:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referenz für die Feldzuordnung
In diesem Abschnitt wird erläutert, wie der Google Security Operations-Parser Grok-Muster für Linux- und Microsoft Windows-Systeme anwendet und wie OSSEC-Logfelder für jeden Logtyp den UDM-Feldern (Unified Data Model) von Google Security Operations zugeordnet werden.
Informationen zur Zuordnungsreferenz für gängige Felder finden Sie unter Gängige Felder.
Referenzinformationen zu Protokollpfaden, Grok-Mustern für Beispielprotokolle, Ereignistypen und UDM-Feldern auf Linux-Systemen finden Sie in den folgenden Abschnitten:
Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.
Gängige Felder
In der folgenden Tabelle sind die gängigen Protokollfelder und die entsprechenden UDM-Felder aufgeführt.
| Gemeinsames Log-Feld | UDM-Feld |
|---|---|
| collected_time | metadata.collected_timestamp |
| Anwendung | principal.application |
| log | metadata.description |
| ip | target.ip oder principal.ip |
| Hostname | target.hostname oder principal.hostname |
Linux-System
In der folgenden Tabelle sind die Logpfade für das Linux-System, das Grok-Muster für Beispielprotokolle, der Ereignistyp und die UDM-Zuordnungen aufgeführt:
| Pfad zum Protokoll | Beispiellog | Grok-Muster | Ereignistyp | UDM-Zuordnung |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „error_message“ wird auf „security_result.description“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. „error_message“ wird auf „security_result.description“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „error_message“ wird auf „security_result.description“ zugeordnet. „target.platform“ ist auf „LINUX“ festgelegt „referer_url“ ist „network.http.referral_url“ zugeordnet. |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „error_message“ wird auf „security_result.description“ zugeordnet. „target_ip“ ist „target.ip“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „connection_id“ wird „network.session_id“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „request_id“ wird „security_result.detection_fields.(key/value)“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „pid“ wird „target.process.parent_process.pid“ zugeordnet. „connection_id“ wird „network.session_id“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: Die Datei /usr/local/apache2/htdocs/favicon.ico existiert nicht. | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „request_id“ wird „security_result.detection_fields.(key/value)“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „pid“ wird „target.process.parent_process.pid“ zugeordnet. „connection_id“ wird „network.session_id“ zugeordnet. „error_message“ wird auf „security_result.description“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip ist principal.ip zugeordnet „userid“ wird „principal.user.userid“ zugeordnet. host ist principal.hostname zugeordnet „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „method“ ist „network.http.method“ zugeordnet. resource wird principal.resource.name zugeordnet client_protocol wird network.application_protocol zugeordnet „result_status“ wird „network.http.response_code“ zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. „user_agent“ wird zu „network.http.user_agent“ zugeordnet. network.ip_protocol ist auf „TCP“ festgelegt „network.direction“ ist auf „OUTBOUND“ festgelegt network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| var/log/apache2/other_vhosts_access.log | wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | „target_host“ wird „target.hostname“ zugeordnet. „target_port“ ist „target.port“ zugeordnet. client_ip ist principal.ip zugeordnet „userid“ wird „principal.user.userid“ zugeordnet. host ist principal.hostname zugeordnet „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „method“ ist „network.http.method“ zugeordnet. resource wird principal.resource.name zugeordnet „result_status“ wird „network.http.response_code“ zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. „user_agent“ wird zu „network.http.user_agent“ zugeordnet. network.ip_protocol ist auf „TCP“ festgelegt „network.direction“ ist auf „OUTBOUND“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. network.application_protocol ist auf „HTTP“ festgelegt |
| /var/log/apache2/access.log | „http://192.0.2.1/test/first.html“ -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path ist target.url zugeordnet „referer_url“ ist „network.http.referral_url“ zugeordnet. „network.direction“ ist auf „OUTBOUND“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | „user_agent“ wird zu „network.http.user_agent“ zugeordnet. „network.direction“ ist auf „OUTBOUND“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt network.application_protocol ist auf „HTTP“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „Apache“ festgelegt. metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | „time“ wird „metadata.timestamp“ zugeordnet. „ip“ ist „target.ip“ zugeordnet. principal_ip ist principal.ip zugeordnet principal_user_userid wird principal.user.userid zugeordnet metadata_timestamp wird dem Zeitstempel zugeordnet „http_method“ wird „network.http.method“ zugeordnet. „resource_name“ wird „principal.resource.name“ zugeordnet protocol ist network.application_protocol = (HTTP) zugeordnet „response_code“ wird „network.http.response_code“ zugeordnet. „received_bytes“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. „user_agent“ wird zu „network.http.user_agent“ zugeordnet. „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „NGINX“ festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf „TCP“ festgelegt „network.direction“ ist auf „OUTBOUND“ festgelegt |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" „bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})“ "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | „thread_id“ ist „principal.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. (debug wird UNKNOWN_SEVERITY zugeordnet, info wird INFORMATIONAL zugeordnet, notice wird LOW zugeordnet, warn wird MEDIUM zugeordnet, error wird ERROR zugeordnet, crit wird CRITICAL zugeordnet, alert wird HIGH zugeordnet) „target_file_full_path“ wird „target.file.full_path“ zugeordnet. principal_ip ist principal.ip zugeordnet „target_hostname“ wird „target.hostname“ zugeordnet. „http_method“ wird „network.http.method“ zugeordnet. „resource_name“ wird „principal.resource.name“ zugeordnet Protokoll ist „TCP“ zugeordnet „target_ip“ ist „target.ip“ zugeordnet. „target_port“ ist „target.port“ zugeordnet. security_description + security_result_description_2 wird security_result.description zugeordnet „pid“ ist „principal.process.parent_process.pid“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt Der Zeitstempel wird %{year}/%{day}/%{month} %{time} zugeordnet. „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „NGINX“ festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf „TCP“ festgelegt „network.direction“ ist auf „OUTBOUND“ festgelegt |
| var/log/rkhunter.log | [14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen | [<message_text>]{security_description} | STATUS_UPDATE | „time“ wird „metadata.timestamp“ zugeordnet. „securtiy_description“ wird „security_result.description“ zugeordnet. principal.platform ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
| var/log/rkhunter.log | [14:09:52] Datei „/dev/.oz/.nap/rkit/terror“ wird gesucht [ Nicht gefunden ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | „metadata_description“ wird „metadata.description“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet principal.platform ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
| var/log/rkhunter.log | ossec: Dateigröße reduziert (Inode blieb unverändert): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | „time“ wird „metadata.timestamp“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. principal.platform ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
| /var/log/kern.log | 7. Juli 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname ist „principal.hostname“ zugeordnet „metadata_product_event_type“ ist „metadata.product_event_type“ zugeordnet. target_ip wird auf „target.ip“ zugeordnet principal_ip wird auf „principal.ip“ zugeordnet „target_user_userid“ wird „target.user.userid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| /var/log/kern.log | Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname ist „principal.hostname“ zugeordnet „metadata_product_event_type“ ist „metadata.product_event_type“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet file_path wird „principal.process.file“ zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| /var/log/kern.log | 28.04.12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname ist „principal.hostname“ zugeordnet „metadata_product_event_type“ ist „metadata.product_event_type“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname ist „principal.hostname“ zugeordnet „metadata_product_event_type“ ist „metadata.product_event_type“ zugeordnet. „principal_asset_hardware_cpu_model“ wird „principal.asset.hardware.cpu_model“ zugeordnet „metadata_description“ wird „metadata.description“ zugeordnet metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „cpu_model“ wird „principal.asset.hardware.cpu_model“ zugeordnet. |
| /var/log/syslog.log | 29.01.2022 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „http_method“ wird „network.http.method“ zugeordnet. „response_code“ wird „network.http.response_code“ zugeordnet. resource ist target.url zugeordnet „target_ip“ ist „target.ip“ zugeordnet. „received_bytes“ wird „network.received_bytes“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „command_line“ wird „principal.process.command_line“ zugeordnet. |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „message“ wird „metadata.description“ zugeordnet. „command_line“ wird „principal.process.command_line“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „target_ip“ ist „target.ip“ zugeordnet. |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „description“ wird auf „security_result.description“ zugeordnet „command_line“ wird „principal.process.command_line“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „description“ und „reason“ werden auf „security_result.description“ zugeordnet. „command_line“ wird „principal.process.command_line“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| /var/log/syslog.log | 2. Mai 06:25:01 localhost apachectl[64942]: AH00558: apache2: Der voll qualifizierte Domainname des Servers konnte nicht zuverlässig mit ::1 ermittelt werden. Legen Sie die Direktive „ServerName“ global fest, um diese Meldung zu unterdrücken. | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „message“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „command_line“ wird „principal.process.command_line“ zugeordnet. |
| /var/log/syslog.log | 2. Mai 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7.205.015.552 Byte) wurden entfernt | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „message“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „command_line“ wird „principal.process.command_line“ zugeordnet. |
| /var/log/syslog.log | 3. Mai 10:14:37 localhost rsyslogd: Die User-ID von rsyslogd wurde in 102 geändert | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | „collected_time“ wird mit „metadata.collected_timestamp“ abgeglichen. Hostname wird principal.hostname zugeordnet „message“ wird „metadata.description“ zugeordnet. „user_id“ wird „principal.user.userid“ zugeordnet. „command_line“ wird „principal.process.command_line“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| /var/log/syslog.log | 5. Mai 10:36:48 localhost systemd[1]: System Logging Service wird gestartet… | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „message“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „command_line“ wird „principal.process.command_line“ zugeordnet. |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | „target_hostname“ wird „target.hostname“ zugeordnet. „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| /var/log/mail.log | 7. April 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | „target_hostname“ wird „target.hostname“ zugeordnet. „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | „target_hostname“ wird „target.hostname“ zugeordnet. „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „resource_name“ wird auf „target.resource.name“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| /var/log/mail.log | 7. April 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | „target_hostname“ wird „target.hostname“ zugeordnet. „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| /var/log/mail.log | 7. April 13:44:01 Uhr prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | „target_hostname“ wird „target.hostname“ zugeordnet. „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| /var/log/mail.log | 7. April 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | „target_hostname“ wird „target.hostname“ zugeordnet. „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap: Der Zugriff auf den Konfigurationsschlüssel „[filterNames]“ über die Punktnotation ist veraltet und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen „config.getProperty(key, targetClass)“. | [{timestamp}]{severity}{summary}\-{security_description}
, bei {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | „command_line“ ist „target.process.command_line“ zugeordnet file_path ist „target.process.file.full_path“ zugeordnet. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „severity“ ist „security_result.severity“ zugeordnet. summary ist „security_result.summary“ zugeordnet „security_description“ wird „security_result.description“ zugeordnet. metadata.product_name ist auf „OSSEC“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt |
| /var/log/auth.log | 27.04.21:03:03 Ubuntu18 systemd-logind[836]: Sitzung 3080 entfernt. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | „Zeitstempel“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_hostname“ mit „target.hostname“ verknüpft. Andernfalls wird „principal_hostname“ mit „principal.hostname“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_application“ mit „target.application“ verknüpft. Andernfalls wird „principal_application“ mit „principal.application“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. „network_session_id“ wird „network.session_id“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ und andernfalls mit „target.user.userid“ abgeglichen. „principal.platform“ ist „LINUX“ zugeordnet if(removed_session) event_type ist auf USER_LOGOUT festgelegt „extensions.auth.type“ ist auf „AUTHTYPE_UNSPECIFIED“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 28.04.18 11:33:24 Ubuntu18 systemd-logind[836]: Neue Sitzung 3205 des Nutzers root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | „Zeitstempel“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_hostname“ mit „target.hostname“ verknüpft. Andernfalls wird „principal_hostname“ mit „principal.hostname“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_application“ mit „target.application“ verknüpft. Andernfalls wird „principal_application“ mit „principal.application“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. „network_session_id“ wird „network.session_id“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ und andernfalls mit „target.user.userid“ abgeglichen. „principal.platform“ ist „LINUX“ zugeordnet „network.application_protocol“ ist „SSH“ zugeordnet if(new_session) event_type ist auf USER_LOGIN festgelegt „extensions.auth.type“ ist auf „AUTHTYPE_UNSPECIFIED“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | „Zeitstempel“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_hostname“ mit „target.hostname“ verknüpft. Andernfalls wird „principal_hostname“ mit „principal.hostname“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_application“ mit „target.application“ verknüpft. Andernfalls wird „principal_application“ mit „principal.application“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ verknüpft. Andernfalls wird „principal_user_userid“ mit „target.user.userid“ verknüpft. principal_ip wird auf „principal.ip“ zugeordnet principal_port wird „principal.port“ zugeordnet security_result_detection_fields_ssh_kv ist „security_result.detection_fields.key/value“ zugeordnet „security_result_detection_fields_kv“ ist „security_result.detection_fields.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | „Zeitstempel“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_hostname“ mit „target.hostname“ verknüpft. Andernfalls wird „principal_hostname“ mit „principal.hostname“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_application“ mit „target.application“ verknüpft. Andernfalls wird „principal_application“ mit „principal.application“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. principal_user_uuserid ist „principal.user.attribute.labels“ zugeordnet principal_user_attribute_labels_euid_kv ist „principal.user.attribute.labels.key/value“ zugeordnet principal_ruser_userid ist „principal.user.attribute.labels.key/value“ zugeordnet target_ip wird auf „target.ip“ zugeordnet Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ abgeglichen. Andernfalls wird „target.user.userid“ verwendet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 24. Februar 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. principal_hostname wird principal.hostname zugeordnet principal_application wird principal.application zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. „principal_user_userid“ wird „target.user.userid“ zugeordnet. „security_description“ wird „security_result.description“ zugeordnet. principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet principal_user_attribute_labels_uid_kv ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_hostname“ mit „target.hostname“ verknüpft. Andernfalls wird „principal_hostname“ mit „principal.hostname“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_application“ mit „target.application“ verknüpft. Andernfalls wird „principal_application“ mit „principal.application“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ und andernfalls mit „target.user.userid“ abgeglichen. principal_user_attribute_labels_uid_kv ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 26.04.07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Nutzer root geschlossen | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_hostname“ mit „target.hostname“ verknüpft. Andernfalls wird „principal_hostname“ mit „principal.hostname“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_application“ mit „target.application“ verknüpft. Andernfalls wird „principal_application“ mit „principal.application“ verknüpft. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ verknüpft. Andernfalls wird „principal_user_userid“ mit „target.user.userid“ verknüpft. principal_user_attribute_labels_uid_kv wird principal.user.attribute.labels.key/value zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 24. Mai 12:56:31 ip-10-50-2-176 sshd[119931]: Zeitüberschreitung, Client reagiert nicht. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. principal_hostname wird principal.hostname zugeordnet principal_application wird principal.application zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. security_result_description wird security_result_description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: Cache wird geleert und mit Versionsnummer 2 neu erstellt | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | „Zeitstempel“ wird „metadata.timestamp“ zugeordnet. „pid“ ist „principal.process.pid“ zugeordnet. principal_user_attribute_labels_kv ist „principal.user.attribute.labels“ zugeordnet principal_group_attribute_labels_kv ist „principal.group.attribute.labels“ zugeordnet principal_user_userid wird „principal.user.userid“ zugeordnet principal_group_product_object_id ist „principal.group.product_object_id“ zugeordnet „security_description“ wird „security_result.description“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet metadata.product_name ist auf „OSSEC“ festgelegt. „metadata.vendor_name“ ist auf „OSSEC“ festgelegt. |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name ist auf „OSSEC“ festgelegt. „metadata.vendor_name“ ist auf „OSSEC“ festgelegt. „user_id“ wird „principal.user.userid“ zugeordnet. „desc“ wird zu „metadata.description“ zugeordnet. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | „timestamp“ wird „metadata.timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. local_ip ist principal.ip zugeordnet „target_ip“ ist „target.ip“ zugeordnet. target_hostname wird principal.hostname zugeordnet port ist target.port zugeordnet „user“ wird „principal.user.user_display_name“ zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] AUS: '2022-04-28 16:14:13 Bibliotheksversionen: OpenSSL 1.1.1 11. September 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. msg wird security_result.description zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
Die Nachricht wird mit <message_text>with[<message_text>]<message_text>:{port}<message_text> abgeglichen. |
STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „message“ wird „security_result.description“ zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „message“ wird „security_result.description“ zugeordnet. „user“ wird „principal.user.user_display_name“ zugeordnet. ip ist principal.ip zugeordnet metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „message“ wird „security_result.description“ zugeordnet. summary wird security_result.summary zugeordnet „user_name“ wird „principal.user.user_display_name“ zugeordnet. „cli“ ist „principal.process.command_line“ zugeordnet. „status“ wird auf „principal.user.user_authentication_status“ zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
Ereignistyp auf dem Tab „Audit-Log“ der aktuellen Tabelle | audit_log_type wird metadata.product_event_type zugeordnet metadata_ingested_timestamp wird „metadata.event_timestamp“ zugeordnet metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. principal.plateform ist auf „LINUX“ festgelegt Daten werden einem Schlüssel/Wert-Paar zugeordnet – UDM-Zuordnung auf dem Tab „audit.log“ der aktuellen Tabelle |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. „command_line“ wird „target.process.command_line“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Warteschlange '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. „resource“ ist „target.resource.name“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Datei wird analysiert: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. „error_code“ wird „security_result.summary“ zugeordnet. „error_metadata_description“ wird auf „security_result.summary“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. port ist target.port zugeordnet metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Lesedatei mit Regeln: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Datei wird ignoriert: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | „application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. file_path wird auf target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt. |
| ntpd-Prozess | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | „protocol“ wird „network.ip_protocol“ zugeordnet. „pid“ ist „principal.process.pid“ zugeordnet. metadata.description ist auf „Programmname: %{process_name}“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
| syscheck | Datei „/usr/bin/fwts“ geändert | Datei „{file_path}“ {description} | FILE_MODIFICATION | „description“ wird auf „metadata.description“ zugeordnet file_path wird auf target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt |
Audit
Audit-Log-Felder zu UDM-Feldern
In der folgenden Tabelle sind die Log-Felder des Typs „Audit-Log“ und die zugehörigen UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Konto | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| CMD | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| Daten | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| Familie | „network.ip_protocol“ wird auf „IP6IN4“ gesetzt, wenn „ip_protocol“ = 2 ist. Andernfalls wird „UNKNOWN_IP_PROTOCOL“ festgelegt. |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Hostname | target.hostname |
| icmptype | network.ip_protocol ist auf „ICMP“ festgelegt |
| id | Wenn [audit_log_type] == „ADD_USER“, wird „target.user.userid“ auf „%{id}“ gesetzt.
Wenn [audit_log_type] == "ADD_GROUP", wird „target.group.product_object_id“ auf „%{id}“ festgelegt. andernfalls ist „target.user.attribute.labels.key/value“ auf „id“ festgelegt |
| Inode | target.resource.product_object_id |
| Schlüssel | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Modus | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| Pfad | target.file.full_path |
| Dauerwelle | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| Proto | Wenn [ip_protocol] == 2 ist, wird „network.ip_protocol“ auf „IP6IN4“ gesetzt.
Andernfalls wird „network.ip_protocol“ auf „UNKNOWN_IP_PROTOCOL“ gesetzt. |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| Erfolgreich | Wenn „success“ den Wert „yes“ hat, wird „security_result.summary“ auf „system call was successful“ gesetzt.
else securtiy_result.summary is set to 'systemcall was failed' |
| suid | target.user.userid |
| Systemaufruf | about.labels.key/value |
| Terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid auf principal.user.userid festgelegt ist
Andernfalls wird die uid auf „target.user.userid“ gesetzt. |
| vm | target.resource.name |
Audit-Log-Typen zu UDM-Ereignistyp
In der folgenden Tabelle sind die Audit-Log-Typen und die entsprechenden UDM-Ereignistypen aufgeführt.
| Audit-Logtyp | UDM-Ereignistyp | Beschreibung |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Wird ausgelöst, wenn eine Gruppe im Nutzerbereich hinzugefügt wird. |
| ADD_USER | USER_CREATION | Wird ausgelöst, wenn ein Nutzerkonto im Userspace hinzugefügt wird. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Wird ausgelöst, wenn ein Prozess auf abnormale Weise beendet wird (mit einem Signal, das bei Aktivierung einen Core-Dump verursachen kann). |
| AVC | GENERIC_EVENT | Wird ausgelöst, um eine SELinux-Berechtigungsprüfung aufzuzeichnen. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn die Konfiguration des Audit-Systems geändert wird. |
| CRED_ACQ | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft. |
| CRED_DISP | USER_LOGOUT | Wird ausgelöst, wenn ein Nutzer Anmeldedaten im Nutzerbereich entfernt. |
| CRED_REFR | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Wird ausgelöst, um die kryptografische Schlüssel-ID zu erfassen, die für kryptografische Zwecke verwendet wird. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Wird ausgelöst, um Parameter aufzuzeichnen, die während der Einrichtung einer TLS-Sitzung festgelegt wurden. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen. |
| DAEMON_ABORT | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird. |
| DAEMON_END | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der auditd-Daemon das Logging fortsetzt. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der auditd-Daemon die Audit-Logdateien rotiert. |
| DAEMON_START | PROCESS_LAUNCH | Wird ausgelöst, wenn der auditd-Daemon gestartet wird. |
| DEL_GROUP | GROUP_DELETION | Wird ausgelöst, wenn eine Gruppe im Nutzerbereich gelöscht wird |
| Ausstehend | USER_DELETION | Wird ausgelöst, wenn ein Nutzer im Userspace gelöscht wird |
| EXECVE | PROCESS_LAUNCH | Wird ausgelöst, um Argumente des Systemaufrufs „execve(2)“ aufzuzeichnen. |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein solches erkannt wird oder sich die IPSec-Konfiguration ändert. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird. |
| MAC_STATUS | GENERIC_EVENT | Wird ausgelöst, wenn der SELinux-Modus (erzwingen, erlauben, aus) geändert wird. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, wenn ein statisches Label hinzugefügt wird, wenn die Paketlabelfunktionen des Kernels von NetLabel verwendet werden. |
| NETFILTER_CFG | GENERIC_EVENT | Wird ausgelöst, wenn Netfilter-Kettenänderungen erkannt werden. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen zu einem Prozess aufzuzeichnen, an den ein Signal gesendet wird. |
| PATH | FILE_OPEN/GENERIC_EVENT | Wird ausgelöst, um Informationen zum Pfad des Dateinamens aufzuzeichnen. |
| SELINUX_ERR | GENERIC_EVENT | Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird. |
| SERVICE_START | SERVICE_START | Wird ausgelöst, wenn ein Dienst gestartet wird. |
| SERVICE_STOP | SERVICE_STOP | Wird ausgelöst, wenn ein Dienst beendet wird. |
| SYSCALL | GENERIC_EVENT | Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen. |
| SYSTEM_BOOT | STATUS_STARTUP | Wird ausgelöst, wenn das System hochgefahren wird. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Wird ausgelöst, wenn sich die Ausführungsebene des Systems ändert. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Wird ausgelöst, wenn das System heruntergefahren wird. |
| USER_ACCT | SETTING_MODIFICATION | Wird ausgelöst, wenn ein Nutzerkonto im Userspace geändert wird. |
| USER_AUTH | USER_LOGIN | Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird. |
| USER_AVC | USER_UNCATEGORIZED | Wird ausgelöst, wenn eine AVC-Nachricht im Nutzerbereich generiert wird. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn ein Nutzerkontoattribut geändert wird. |
| USER_CMD | USER_COMMUNICATION | Wird ausgelöst, wenn ein Shell-Befehl im Userspace ausgeführt wird. |
| USER_END | USER_LOGOUT | Wird ausgelöst, wenn eine Benutzersitzung beendet wird. |
| USER_ERR | USER_UNCATEGORIZED | Wird ausgelöst, wenn ein Fehler beim Nutzerkontostatus erkannt wird. |
| USER_LOGIN | USER_LOGIN | Wird ausgelöst, wenn sich ein Nutzer anmeldet. |
| USER_LOGOUT | USER_LOGOUT | Wird ausgelöst, wenn sich ein Nutzer abmeldet. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt. |
| USER_MGMT | USER_UNCATEGORIZED | Wird ausgelöst, um Daten zur Verwaltung des Nutzerbereichs zu erfassen. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird. |
| USER_START | USER_LOGIN | Wird ausgelöst, wenn eine User-Space-Sitzung gestartet wird. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn eine Änderung der Nutzerbereichs-Systemkonfiguration erkannt wird. |
| VIRT_CONTROL | STATUS_UPDATE | Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Ressourcenzuweisung einer virtuellen Maschine aufzuzeichnen. |
Felder aus dem E-Mail-Log in UDM-Felder
In der folgenden Tabelle sind die Protokollfelder des Protokolltyps „E-Mail“ und die entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Klasse | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Von | network.email.from |
| msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Relay | intermediary.hostname
intermediary.ip |
| Größe | network.received_bytes |
| Statistik | security_result.summary |
| bis | network.email.to |
E-Mail-Logtypen in UDM-Ereignistyp
In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.
| E-Mail-Log-Typ | UDM-Ereignistyp |
|---|---|
| sendmail | GENERIC_EVENT |
| Abholung | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| lokal | EMAIL_UNCATEGORIZED |