Mengumpulkan log OSSEC
Dokumen ini menjelaskan cara mengumpulkan log OSSEC dengan mengonfigurasi OSSEC dan forwarder Google Security Operations. Dokumen ini juga mencantumkan jenis log yang didukung dan versi OSSEC yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara agen dan server OSSEC dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
Sistem Linux. Sistem Linux yang akan dipantau. Sistem Linux terdiri dari file yang akan dipantau dan agen OSSEC.
Sistem Microsoft Windows. Sistem Microsoft Windows yang akan dipantau tempat agen OSSEC diinstal.
Agen OSSEC. Agen OSSEC mengumpulkan informasi dari sistem Microsoft Windows atau Linux dan meneruskan informasi tersebut ke server OSSEC.
Server OSSEC. Server OSSEC memantau dan menerima informasi dari agen OSSEC. Server ini menganalisis log, dan meneruskan log ke pengirim Google Security Operations.
Penerus Google Security Operations. Pengirim Google Security Operations adalah komponen software ringan, yang di-deploy di jaringan pelanggan, yang mendukung syslog. Pengirim Google Security Operations meneruskan log ke Google Security Operations.
Google Security Operations. Google Security Operations menyimpan dan menganalisis log dari server OSSEC.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer OSSEC.
Sebelum memulai
Pastikan agen OSSEC diinstal di sistem Microsoft Windows atau Linux yang Anda rencanakan untuk dipantau. Untuk mengetahui informasi selengkapnya tentang cara menginstal agen OSSEC, lihat Penginstalan OSSEC
Gunakan versi OSSEC yang didukung parser Google Security Operations. Parser Google Security Operations mendukung OSSEC versi 3.6.0.
Pastikan server OSSEC diinstal dan dikonfigurasi di server Linux pusat.
Verifikasi jenis log yang didukung parser Google Security Operations. Tabel berikut mencantumkan produk dan jalur file log yang didukung parser Google Security Operations:
Sistem operasi Produk Jalur file log Microsoft Windows Microsoft Windows Log aktivitas Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux - Server OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Pastikan semua sistem dalam arsitektur deployment dikonfigurasi di zona waktu UTC.
Mengonfigurasi agen dan server OSSEC, serta penerusan Google Security Operations
Untuk mengonfigurasi agen dan server OSSEC, serta forwarder Google Security Operations, lakukan hal berikut:
Untuk memantau log yang dihasilkan sistem Linux, buat file
ossec.confuntuk menentukan konfigurasi pemantauan log untuk agen. Berikut adalah contoh file konfigurasi untuk agen di sistem Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Untuk memantau log yang dihasilkan sistem Microsoft Windows, buat file
ossec.confuntuk menentukan konfigurasi pemantauan log untuk agen. Berikut adalah contoh file konfigurasi untuk agen di sistem Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Untuk meneruskan log dari server OSSEC ke Google Security Operations menggunakan protokol syslog, buat file konfigurasi server OSSEC
syslog.confdalam format berikut:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Konfigurasikan penerusan Google Security Operations untuk mengirim log ke Google Security Operations. Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi forwarder Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser Google Security Operations menerapkan pola grok untuk sistem Linux dan Microsoft Windows serta cara memetakan kolom log OSSEC ke kolom Unified Data Model (UDM) Google Security Operations untuk setiap jenis log.
Untuk informasi tentang referensi pemetaan kolom umum, lihat Kolom umum
Untuk informasi referensi tentang jalur log, pola grok untuk contoh log, jenis peristiwa, dan kolom UDM di sistem Linux, lihat bagian berikut:
Untuk informasi tentang peristiwa Microsoft Windows yang didukung dan kolom UDM yang sesuai, lihat Data peristiwa Microsoft Windows
Kolom umum
Tabel berikut mencantumkan kolom log umum dan kolom UDM yang sesuai.
| Kolom log umum | Kolom UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| application | principal.application |
| log | metadata.description |
| ip | target.ip atau principal.ip |
| hostname | target.hostname atau principal.hostname |
Sistem Linux
Tabel berikut mencantumkan jalur log untuk sistem Linux, pola grok untuk contoh log, jenis peristiwa, dan pemetaan UDM:
| Jalur log | Contoh log | Pola Grok | Jenis peristiwa | Pemetaan UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid error_message dipetakan ke security_result.description network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target.platform ditetapkan ke "LINUX" referer_url dipetakan ke network.http.referral_url |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target_ip dipetakan ke target.ip referer_url dipetakan ke network.http.referral_url network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port connection_id dipetakan ke network.session_id network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sabtu, 02 Februari 00.30.55 2019] Permintaan baru: [koneksi: j8BjX4Z5tjk] [permintaan: ACtkX1Z5tjk] [pid 8] [klien 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp request_id dipetakan ke security_result.detection_fields.(key/value) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_level dipetakan ke security_result.severity request_id dipetakan ke security_result.detection_fields.(key/value) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id error_message dipetakan ke security_result.description file_path dipetakan ke target.file.full_path network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.hostname stempel waktu dipetakan ke metadata.event_timestamp metode dipetakan ke network.http.method resource dipetakan ke principal.resource.name client_protocol dipetakan ke network.application_protocol result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host dipetakan ke target.hostname target_port dipetakan ke target.port client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.hostname stempel waktu dipetakan ke metadata.event_timestamp metode dipetakan ke network.http.method resource dipetakan ke principal.resource.name result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" network.application_protocol ditetapkan ke "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path dipetakan ke target.url referer_url dipetakan ke network.http.referral_url network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent dipetakan ke network.http.user_agent network.direction ditetapkan ke "OUTBOUND" target.platform ditetapkan ke "LINUX" network.application_protocol ditetapkan ke "HTTP" target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name ditetapkan ke "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time dipetakan ke metadata.timestamp ip dipetakan ke target.ip principal_ip dipetakan ke principal.ip principal_user_userid dipetakan ke principal.user.userid metadata_timestamp dipetakan ke stempel waktu http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protocol dipetakan ke network.application_protocol = (HTTP) response_code dipetakan ke network.http.response_code received_bytes dipetakan ke network.sent_bytes referer_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 dipetakan ke "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() ke ({target_ip}|[{target_ip}]):{target_port} gagal ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id dipetakan ke principal.process.pid severity dipetakan ke security_result.severity (debug dipetakan ke UNKNOWN_SEVERITY, info dipetakan ke INFORMATIONAL, pemberitahuan dipetakan ke LOW, peringatan dipetakan ke MEDIUM, error dipetakan ke ERROR, crit dipetakan ke CRITICAL, pemberitahuan dipetakan ke HIGH) target_file_full_path dipetakan ke target.file.full_path principal_ip dipetakan ke principal.ip target_hostname dipetakan ke target.hostname http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protokol dipetakan ke "TCP" target_ip dipetakan ke target.ip target_port dipetakan ke target.port security_description + security_result_description_2 dipetakan ke security_result.description pid dipetakan ke principal.process.parent_process.pid network.application_protocol ditetapkan ke "HTTP" stempel waktu dipetakan ke %{year}/%{day}/%{month} %{time} target.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol ditetapkan ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Pemeriksaan perintah yang diperlukan gagal | [<message_text>]{security_description} | STATUS_UPDATE | time dipetakan ke metadata.timestamp securtiy_description dipetakan ke security_result.description principal.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name ditetapkan ke "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Memeriksa file '/dev/.oz/.nap/rkit/terror' [ Tidak ditemukan ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path security_description dipetakan ke security_result.description principal.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name ditetapkan ke "RootKit Hunter" |
| var/log/rkhunter.log | ossec: Ukuran file dikurangi (inode tetap ada): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time dipetakan ke metadata.timestamp metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path principal.platform ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name ditetapkan ke "RootKit Hunter" |
| /var/log/kern.log | 7 Jul 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | stempel waktu dipetakan ke "metadata.event_timestamp" principal_hostname dipetakan ke "principal.hostname" metadata_product_event_type dipetakan ke "metadata.product_event_type" target_ip dipetakan ke "target.ip" principal_ip dipetakan ke "principal.ip" target_user_userid dipetakan ke "target.user.userid" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| /var/log/kern.log | 25 Okt 10.10.51 kernel localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_hostname dipetakan ke "principal.hostname" metadata_product_event_type dipetakan ke "metadata.product_event_type" metadata_description dipetakan ke "metadata.description" file_path dipetakan ke "principal.process.file" pid dipetakan ke "principal.process.pid" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| /var/log/kern.log | 28 Apr 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_hostname dipetakan ke "principal.hostname" metadata_product_event_type dipetakan ke "metadata.product_event_type" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| /var/log/kern.log | 28 Apr 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_hostname dipetakan ke "principal.hostname" metadata_product_event_type dipetakan ke "metadata.product_event_type" principal_asset_hardware_cpu_model dipetakan ke "principal.asset.hardware.cpu_model" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" cpu_model dipetakan ke principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 Jan 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid http_method dipetakan ke network.http.method response_code dipetakan ke network.http.response_code resource dipetakan ke target.url target_ip dipetakan ke target.ip received_bytes dipetakan ke network.received_bytes metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid log_level dipetakan ke security_result.severity pesan dipetakan ke metadata.description command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" target_ip dipetakan ke target.ip |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid log_level dipetakan ke security_result.severity deskripsi dipetakan ke security_result.description command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid log_level dipetakan ke security_result.severity deskripsi + alasan dipetakan ke security_result.description command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| /var/log/syslog.log | 2 Mei 06.25.01 localhost apachectl[64942]: AH00558: apache2: Tidak dapat menentukan nama domain yang sepenuhnya memenuhi syarat di server dengan andal, menggunakan ::1. Tetapkan perintah 'ServerName' secara global untuk menyembunyikan pesan ini | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | 2 Mei 00.00.45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 byte) dipangkas | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | 3 Mei 10.14.37 localhost rsyslogd: userid rsyslogd diubah menjadi 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time dipetakan ke metadata.collected_timestamp nama host dipetakan ke principal.hostname pesan dipetakan ke metadata.description user_id dipetakan ke principal.user.userid command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| /var/log/syslog.log | 5 Mei 10.36.48 localhost systemd[1]: Memulai Layanan Logging Sistem... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.hostname pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 Apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 Apr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid resource_name dipetakan ke target.resource.name metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 Apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 Apr 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 Apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname dipetakan ke target.hostname application dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Mengakses kunci konfigurasi '[filterNames]' melalui notasi titik tidak digunakan lagi, dan akan dihapus dalam rilis mendatang. Sebagai gantinya, gunakan 'config.getProperty(key, targetClass)'. | [{timestamp}]{severity}{summary}\-{security_description}
, di {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line dipetakan ke "target.process.command_line" file_path dipetakan ke "target.process.file.full_path" stempel waktu dipetakan ke "metadata.event_timestamp" severity dipetakan ke "security_result.severity" summary dipetakan ke "security_result.summary" security_description dipetakan ke "security_result.description" metadata.product_name ditetapkan ke "OSSEC" metadata.vendor_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 27 Apr 21:03:03 Ubuntu18 systemd-logind[836]: Menghapus sesi 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, principal_hostname akan dipetakan ke "target.hostname". Jika tidak, akan dipetakan ke "principal.hostname". Jika metadata.event_type adalah USER_LOGOUT, principal_application akan dipetakan ke "target.application". Jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid". Jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid akan dipetakan ke "principal.user.userid", atau dipetakan ke "target.user.userid". "principal.platform" dipetakan ke "LINUX" if(removed_session) event_type ditetapkan ke USER_LOGOUT extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 28 Apr 11:33:24 Ubuntu18 systemd-logind[836]: Sesi baru 3205 dari root pengguna. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, principal_hostname akan dipetakan ke "target.hostname". Jika tidak, akan dipetakan ke "principal.hostname". Jika metadata.event_type adalah USER_LOGOUT, principal_application akan dipetakan ke "target.application". Jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid". Jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid akan dipetakan ke "principal.user.userid", atau dipetakan ke "target.user.userid". "principal.platform" dipetakan ke "LINUX" "network.application_protocol" dipetakan ke "SSH" if(new_session) event_type ditetapkan ke USER_LOGIN extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, principal_hostname akan dipetakan ke "target.hostname". Jika tidak, akan dipetakan ke "principal.hostname". Jika metadata.event_type adalah USER_LOGOUT, principal_application akan dipetakan ke "target.application". Jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid". Jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid akan dipetakan ke "principal.user.userid", atau dipetakan ke "target.user.userid". principal_ip dipetakan ke "principal.ip" principal_port dipetakan ke "principal.port" security_result_detection_fields_ssh_kv dipetakan ke "security_result.detection_fields.key/value" security_result_detection_fields_kv dipetakan ke "security_result.detection_fields.key/value" "principal.platform" ditetapkan ke "LINUX" "network.application_protocol" ditetapkan ke "SSH" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 28 Apr 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, principal_hostname akan dipetakan ke "target.hostname". Jika tidak, akan dipetakan ke "principal.hostname". Jika metadata.event_type adalah USER_LOGOUT, principal_application akan dipetakan ke "target.application". Jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid". Jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" principal_user_uuserid dipetakan ke "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv dipetakan ke "principal.user.attribute.labels.key/value" principal_ruser_userid dipetakan ke "principal.user.attribute.labels.key/value" target_ip dipetakan ke "target.ip" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid akan dipetakan ke "principal.user.userid", jika tidak, akan dipetakan ke "target.user.userid" "principal.platform" ditetapkan ke "LINUX" "network.application_protocol" ditetapkan ke "SSH" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 24 Feb 00.13.02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp principal_hostname dipetakan ke principal.hostname principal_application dipetakan ke principal.application pid dipetakan ke principal.process.pid principal_user_userid dipetakan ke target.user.userid security_description dipetakan ke "security_result.description" principal_process_command_line_1 dipetakan ke "principal.process.command_line" principal_process_command_line_2 dipetakan ke "principal.process.command_line" principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "principal.platform" ditetapkan ke "LINUX" |
| /var/log/auth.log | 26 Apr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | stempel waktu dipetakan ke metadata.timestamp Jika metadata.event_type adalah USER_LOGOUT, principal_hostname akan dipetakan ke "target.hostname". Jika tidak, akan dipetakan ke "principal.hostname". Jika metadata.event_type adalah USER_LOGOUT, principal_application akan dipetakan ke "target.application". Jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid". Jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid akan dipetakan ke "principal.user.userid", atau dipetakan ke "target.user.userid". principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "principal.platform" ditetapkan ke "LINUX" "network.application_protocol" ditetapkan ke "SSH" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 26 Apr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | stempel waktu dipetakan ke metadata.timestamp Jika metadata.event_type adalah USER_LOGOUT, principal_hostname akan dipetakan ke "target.hostname". Jika tidak, akan dipetakan ke "principal.hostname". Jika metadata.event_type adalah USER_LOGOUT, principal_application akan dipetakan ke "target.application". Jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid". Jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid akan dipetakan ke "principal.user.userid", atau dipetakan ke "target.user.userid". principal_user_attribute_labels_uid_kv dipetakan ke principal.user.attribute.labels.key/value "principal.platform" ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 24 Mei 12.56.31 ip-10-50-2-176 sshd[119931]: Waktu tunggu habis, klien tidak merespons. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp principal_hostname dipetakan ke principal.hostname principal_application dipetakan ke principal.application pid dipetakan ke principal.process.pid security_result_description dipetakan ke security_result_description "principal.platform" ditetapkan ke "LINUX" metadata.vendor_name ditetapkan ke OSSEC metadata.product_name ditetapkan ke OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: menghapus cache dan membuat ulang dengan nomor versi 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.timestamp" pid dipetakan ke "principal.process.pid" principal_user_attribute_labels_kv dipetakan ke "principal.user.attribute.labels" principal_group_attribute_labels_kv dipetakan ke "principal.group.attribute.labels" principal_user_userid dipetakan ke "principal.user.userid" principal_group_product_object_id dipetakan ke "principal.group.product_object_id" security_description dipetakan ke "security_result.description" metadata_description dipetakan ke "metadata.description" metadata.product_name ditetapkan ke "OSSEC" "metadata.vendor_name" ditetapkan ke "OSSEC" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name ditetapkan ke "OSSEC" metadata.vendor_name" ditetapkan ke "OSSEC" user_id dipetakan ke principal.user.userid desc dipetakan ke metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity local_ip dipetakan ke principal.ip target_ip dipetakan ke target.ip target_hostname dipetakan ke principal.hostname port dipetakan ke target.port user dipetakan ke principal.user.user_display_name metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity msg dipetakan ke security_result.description metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
pesan dipetakan ke <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description user dipetakan ke principal.user.user_display_name ip dipetakan ke principal.ip metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description ringkasan dipetakan ke security_result.summary user_name dipetakan ke principal.user.user_display_name cli dipetakan ke principal.process.command_line status dipetakan ke principal.user.user_authentication_status metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" principal.platform ditetapkan ke "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType di tab pemetaan EventType log Audit sheet saat ini | audit_log_type dipetakan ke metadata.product_event_type metadata_ingested_timestamp dipetakan ke "metadata.event_timestamp" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.plateform ditetapkan ke "LINUX" data dipetakan ke pasangan nilai kunci-> pemetaan UDM di tab audit.log sheet saat ini |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Memulai pemindaian syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity command_line dipetakan ke target.process.command_line metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Antrean '/queue/alerts/ar' tidak dapat diakses: 'Koneksi ditolak'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Antrean '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description resource dipetakan ke target.resource.name metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Menganalisis file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke OSSEC metadata.product_name ditetapkan ke OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Tidak dapat membuka file '/queue/rids/004' karena [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata_description dipetakan ke metadata.description error_code dipetakan ke security_result.summary error_metadata_description dipetakan ke security_result.summary metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description port dipetakan ke target.port metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Membaca file aturan: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application dipetakan ke target.application pid dipetakan ke target.process.pid severity dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| Proses ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protokol dipetakan ke network.ip_protocol pid dipetakan ke principal.process.pid metadata.description ditetapkan ke Nama program: %{process_name} metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
| syscheck | File '/usr/bin/fwts' diubah | File '{file_path}' {description} | FILE_MODIFICATION | deskripsi dipetakan ke metadata.description file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" principal.platform ditetapkan ke "LINUX" |
Audit
Kolom log audit ke kolom UDM
Tabel berikut mencantumkan kolom log dari jenis log audit dan kolom UDM yang sesuai.
| Kolom log | Kolom UDM |
|---|---|
| akun | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| data | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| keluarga | network.ip_protocol ditetapkan ke "IP6IN4" jika "ip_protocol" == 2, jika tidak, ditetapkan ke "UNKNOWN_IP_PROTOCOL" |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| icmptype | network.ip_protocol ditetapkan ke "ICMP" |
| id | Jika [audit_log_type] == "ADD_USER", target.user.userid ditetapkan ke "%{id}"
Jika [audit_log_type] == "ADD_GROUP", target.group.product_object_id ditetapkan ke "%{id}" else target.user.attribute.labels.key/value is set to id |
| inode | target.resource.product_object_id |
| kunci | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nama | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| vcpu-baru | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| jalur | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Jika [ip_protocol] == 2, network.ip_protocol ditetapkan ke "IP6IN4"
else network.ip_protocol ditetapkan ke "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| hasil | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| berhasil | Jika success=='yes', securtiy_result.summary ditetapkan ke 'system call was successful'
jika tidak, securtiy_result.summary ditetapkan ke 'systemcall gagal' |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Jika [audit_log_type] di [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid ditetapkan ke principal.user.userid
jika tidak, uid ditetapkan ke target.user.userid |
| vm | target.resource.name |
Jenis log audit ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log audit dan jenis peristiwa UDM yang sesuai.
| Jenis log audit | Jenis peristiwa UDM | Deskripsi |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Dipicu saat grup ruang pengguna ditambahkan. |
| ADD_USER | USER_CREATION | Dipicu saat akun pengguna ruang pengguna ditambahkan. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Dipicu saat proses berakhir secara tidak normal (dengan sinyal yang dapat menyebabkan core dump, jika diaktifkan). |
| AVC | GENERIC_EVENT | Dipicu untuk merekam pemeriksaan izin SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat konfigurasi sistem Audit diubah. |
| CRED_ACQ | USER_LOGIN | Dipicu saat pengguna memperoleh kredensial ruang pengguna. |
| CRED_DISP | USER_LOGOUT | Dipicu saat pengguna membuang kredensial ruang pengguna. |
| CRED_REFR | USER_LOGIN | Dipicu saat pengguna memuat ulang kredensial ruang pengguna mereka. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Dipicu untuk mencatat ID kunci kriptografis yang digunakan untuk tujuan kriptografis. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Dipicu untuk merekam parameter yang ditetapkan selama pembuatan sesi TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam direktori kerja saat ini. |
| DAEMON_ABORT | PROCESS_TERMINATION | Dipicu saat daemon dihentikan karena error. |
| DAEMON_END | PROCESS_TERMINATION | Dipicu saat daemon berhasil dihentikan. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Dipicu saat daemon auditd melanjutkan logging. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Dipicu saat daemon auditd merotasi file Log audit. |
| DAEMON_START | PROCESS_LAUNCH | Dipicu saat daemon auditd dimulai. |
| DEL_GROUP | GROUP_DELETION | Dipicu saat grup ruang pengguna dihapus |
| Tertunda | USER_DELETION | Dipicu saat pengguna ruang pengguna dihapus |
| EXECVE | PROCESS_LAUNCH | Dipicu untuk merekam argumen panggilan sistem execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Dipicu saat nilai Boolean SELinux diubah. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk mencatat informasi tentang peristiwa IPSec, saat peristiwa terdeteksi, atau saat konfigurasi IPSec berubah. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Dipicu saat file kebijakan SELinux dimuat. |
| MAC_STATUS | GENERIC_EVENT | Dipicu saat mode SELinux (enforcing, permissive, off) diubah. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu saat label statis ditambahkan saat menggunakan kemampuan pemberian label paket kernel yang disediakan oleh NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Dipicu saat modifikasi rantai Netfilter terdeteksi. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam informasi tentang proses yang menerima sinyal. |
| JALUR | FILE_OPEN/GENERIC_EVENT | Dipicu untuk merekam informasi jalur nama file. |
| SELINUX_ERR | GENERIC_EVENT | Dipicu saat error SELinux internal terdeteksi. |
| SERVICE_START | SERVICE_START | Dipicu saat layanan dimulai. |
| SERVICE_STOP | SERVICE_STOP | Dipicu saat layanan dihentikan. |
| SYSCALL | GENERIC_EVENT | Dipicu untuk merekam panggilan sistem ke kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Dipicu saat sistem melakukan booting. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Dipicu saat tingkat operasi sistem diubah. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Dipicu saat sistem dimatikan. |
| USER_ACCT | SETTING_MODIFICATION | Dipicu saat akun pengguna ruang pengguna diubah. |
| USER_AUTH | USER_LOGIN | Dipicu saat upaya autentikasi ruang pengguna terdeteksi. |
| USER_AVC | USER_UNCATEGORIZED | Dipicu saat pesan AVC ruang pengguna dibuat. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat atribut akun pengguna diubah. |
| USER_CMD | USER_COMMUNICATION | Dipicu saat perintah shell ruang pengguna dieksekusi. |
| USER_END | USER_LOGOUT | Dipicu saat sesi ruang pengguna dihentikan. |
| USER_ERR | USER_UNCATEGORIZED | Dipicu saat error status akun pengguna terdeteksi. |
| USER_LOGIN | USER_LOGIN | Dipicu saat pengguna login. |
| USER_LOGOUT | USER_LOGOUT | Dipicu saat pengguna logout. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Dipicu saat daemon ruang pengguna memuat kebijakan SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Dipicu untuk mencatat data pengelolaan ruang pengguna. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Dipicu saat peran SELinux pengguna diubah. |
| USER_START | USER_LOGIN | Dipicu saat sesi ruang pengguna dimulai. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat perubahan konfigurasi sistem ruang pengguna terdeteksi. |
| VIRT_CONTROL | STATUS_UPDATE | Dipicu saat virtual machine dimulai, dijeda, atau dihentikan. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Dipicu untuk mencatat binding label ke virtual machine. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Dipicu untuk mencatat penetapan resource virtual machine. |
Kolom log email ke kolom UDM
Tabel berikut mencantumkan kolom log jenis log email dan kolom UDM yang sesuai.
| Kolom log | Kolom UDM |
|---|---|
| Class | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Dari | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Relai | intermediary.hostname
intermediary.ip |
| Ukuran | network.received_bytes |
| Statistik | security_result.summary |
| sampai | network.email.to |
Jenis log email ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log email dan jenis peristiwa UDM yang sesuai.
| Jenis log email | Jenis peristiwa UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| pengambilan | EMAIL_UNCATEGORIZED |
| pembersihan | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| lokal | EMAIL_UNCATEGORIZED |