Raccogli i log OSSEC
Questo documento descrive come raccogliere i log di OSSEC configurando OSSEC e un forwarder di Google Security Operations. Questo documento elenca anche i tipi di log supportati e la versione OSSEC supportata.
Per saperne di più, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra in che modo gli agenti e i server OSSEC sono configurate in modo da inviare i log a Google Security Operations. Ogni deployment del cliente differiscono da questa rappresentazione e potrebbero essere più complesse.
Il diagramma dell'architettura mostra i seguenti componenti:
Sistema Linux. Il sistema Linux da monitorare. Il sistema Linux è costituito i file da monitorare e l'agente OSSEC.
Sistema Microsoft Windows. Il sistema Microsoft Windows da monitorare in cui è installato l'agente OSSEC.
agente OSSEC. L'agente OSSEC raccoglie informazioni dall'account Microsoft Windows o Linux e inoltra le informazioni al server OSSEC.
Server OSSEC. Il server OSSEC monitora e riceve informazioni dai Agenti OSSEC. analizza i log e li inoltra al forwarding di Google Security Operations.
Inoltratore di Google Security Operations. Google Security Operations consente di eseguire componente software, di cui è stato eseguito il deployment nella rete del cliente, che supporta syslog. L'inoltro dei log di Google Security Operations inoltra i log a Google Security Operations.
Google Security Operations. Google Security Operations conserva e analizza i log di il server OSSEC.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni in questo documento si applicano al parser
con l'etichetta di importazione OSSEC.
Prima di iniziare
Assicurati che l'agente OSSEC sia installato sui sistemi Microsoft Windows o Linux che che intendi monitorare. Per saperne di più sull'installazione dell'agente OSSEC, consulta l'articolo sull'installazione di OSSEC
Utilizza una versione di OSSEC supportata dal parser di Google Security Operations. Google Security Operations il parser supporta OSSEC versione 3.6.0.
Assicurati che il server OSSEC sia installato e configurato sul server Linux centrale.
Verifica i tipi di log supportati dal parser di Google Security Operations. Nella tabella che segue sono elencati i prodotti e i percorsi dei file di log supportati dall'analizzatore sintattico di Google Security Operations:
Sistema operativo Prodotto Percorso file di log Microsoft Windows Microsoft Windows Log eventi Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux - Server OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configura l'agente e il server OSSEC e l'inoltro di Google Security Operations
Per configurare l'agente e il server OSSEC e il forwarding Google Security Operations:
Per monitorare i log generati dai sistemi Linux, crea un file
ossec.confper specificare il monitoraggio configurazione dell'agente. Ecco un esempio di file di configurazione per l'agente sul sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Per monitorare i log generati dai sistemi Microsoft Windows, crea un'
ossec.confper specificare la configurazione del monitoraggio dei log per l'agente. Ecco un esempio di configurazione dell'agente sul sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Per inoltrare i log dal server OSSEC a Google Security Operations utilizzando il protocollo syslog, crea il file di configurazione del server OSSEC
syslog.confnel seguente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configura l'inoltro di Google Security Operations per l'invio dei log a Google Security Operations. Per ulteriori informazioni, consulta Installazione e configurazione del forwarding su Linux. Di seguito è riportato un esempio di configurazione di Google Security Operations per l'inoltro:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Riferimento per la mappatura dei campi
Questa sezione spiega come l'analizzatore sintattico di Google Security Operations applica pattern grok per Sistemi Linux e Microsoft Windows e come vengono mappati i campi di log OSSEC ai campi UDM (Google Security Operations Unified Data Model) per ciascun tipo di log.
Per informazioni sul riferimento alla mappatura dei campi comuni, vedi Campi comuni.
Per informazioni di riferimento su percorsi di log, pattern grok come log di esempio, tipi di eventi, e UDM sui sistemi Linux, fai riferimento alle seguenti sezioni:
Per informazioni sugli eventi di Microsoft Windows supportati e sui campi UDM corrispondenti, Consulta i dati sugli eventi di Microsoft Windows
Campi comuni
La seguente tabella elenca i campi di log comuni e i campi UDM corrispondenti.
| Campo log comune | Campo UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| applicazione | principal.application |
| log | metadata.description |
| ip | target.ip o principal.ip |
| nome host | target.hostname o principal.hostname |
Sistema Linux
La tabella seguente elenca i percorsi di log per il sistema Linux, il pattern grok per i log di esempio tipo di evento e mappature UDM:
| Percorso log | Log di esempio | Motivo grok | Tipo di evento | Mappatura UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Gio 28 apr 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] non è riuscito a stabilire la connessione | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Gio 28 apr 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] non è riuscito a stabilire la connessione | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Gio 28 apr 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Riga di comando: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target.platform è impostato su "LINUX" referer_url è mappato alla rete.http.referral_url |
| /var/log/apache2/error.log | Dom 30 gen 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: 1 | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | il timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target_ip è mappato a target.ip referer_url è mappato alla rete.http.referral_url network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 feb 00:30:55 2019] Nuova connessione: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp client_ip è mappato a principal.ip client_port è mappato a principal.port connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 feb 00:30:55 2019] Nuova richiesta: [connessione: j8BjX4Z5tjk] [richiesta: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp request_id è mappato a security_result.detection_fields.(chiave/valore) client_ip è mappato a principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | il timestamp è mappato a metadata.event_timestamp log_level è mappato a security_result.severity request_id è mappato a security_result.detection_fields.(chiave/valore) client_ip è mappato a principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id error_message è mappato a security_result.description file_path è mappato a target.file.full_path network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip è mappato a principal.ip userid è mappato a principal.user.userid l'host è mappato a principal.hostname il timestamp è mappato a metadata.event_timestamp è mappato a network.http.method risorsa mappata a principal.resource.name client_protocol è mappato a network.application_protocol risultato_status è mappato a network.http.response_code oggetto_size_size è mappato a network.sent_bytes referer_url è mappato alla rete.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Gen/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host è mappato a target.hostname target_port è mappato a target.port client_ip è mappato a principal.ip userid è mappato a principal.user.userid l'host è mappato a principal.hostname il timestamp è mappato a metadata.event_timestamp è mappato a network.http.method risorsa mappata a principal.resource.name risultato_status è mappato a network.http.response_code oggetto_size_size è mappato a network.sent_bytes referer_url è mappato alla rete.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" network.application_protocol è impostato su "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | il percorso è mappato a target.url referer_url è mappato a network.http.referral_url network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent è mappato a network.http.user_agent network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/maggio/2022:11:53:27 +0530] "GET /icon/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | il tempo è mappato a metadata.timestamp IP è mappato a target.ip principal_ip è mappato a principal.ip principal_user_userid è mappato a principal.user.userid metadata_timestamp è mappato al timestamp http_method è mappato a network.http.method nome_risorsa è mappato a principal.resource.name è mappato a network.application_protocol = (HTTP) response_code è mappato a network.http.response_code receive_bytes è mappato a network.sent_bytes referer_url è mappato alla rete.http.referral_url user_agent è mappato a network.http.user_agent target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 è mappato a "{security_result_description_2},client:{principal_ip},server:(<campo_facoltativo>{target_hostname}?),request:"{http_method} /(<campo_facoltativo>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() a ({target_ip}|[{target_ip}]):{target_port} non riuscito ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id è mappato a principal.process.pid la gravità è mappata a security_result.severity (il debug è mappato a UNKNOWN_SEVERITY, le informazioni sono mappate a INFORMATIONAL, l’avviso è mappato a LOW, l’avviso è mappato a MEDIUM, l’errore è mappato a ERROR, il crit è mappato a CRITICAL, l’avviso è mappato a HIGH) target_file_full_path è mappato a target.file.full_path principal_ip è mappato a principal.ip target_hostname è mappato a target.hostname http_method è mappato a network.http.method resource_name è mappato a principal.resource.name protocol è mappato a "TCP" target_ip è mappato a target.ip target_port è mappato a target.port security_description + security_result_description_2 è mappato a security_result.description pid è mappato a principal.process.parent_process.pid network.application_protocol è impostato su "HTTP" il timestamp è mappato a %{year}/%{day}/%{month} %{time} target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Controllo dei comandi obbligatori non riuscito | [<message_text>]{security_description} | STATUS_UPDATE | il tempo è mappato a metadata.timestamp securtiy_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Controllo del file "/dev/.oz/.nap/rkit/terror" in corso... [ Non trovato ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description è mappato a metadata.description. file_path è mappato a target.file.full_path security_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| var/log/rkhunter.log | ossec: dimensioni del file ridotte (innode rimasto): "/var/log/rkhunter.log". | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | il tempo è mappato a metadata.timestamp metadata_description è mappato a metadata.description. file_path è mappato a target.file.full_path principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| /var/log/kern.log | 7 lug 18:48:32 kernel zynvpnsvr: [2081387.006876] IPv4: sorgente martian 1.20.32.39 da 192.0.2.1, su dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, su sviluppo {target_user_userid} | NETWORK_CONNECTION | il timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" target_ip è mappato a "target.ip" principal_ip è mappato a "principal.ip" target_user_userid è mappato a "target.user.userid" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | 25 ott 10:10:51 kernel localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | il timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" metadata_description è mappato a "metadata.description" file_path è mappato a "principal.process.file" pid è mappato a "principal.process.pid" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | 28 apr 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registrazione con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | il timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | il timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" principal_asset_hardware_cpu_model è mappato a "principal.asset.hardware.cpu_model" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" modello cpu_model è mappato a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 gen 13:51:46 winevt env[29194]: [29/Gen/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid http_method è mappato a network.http.method response_code è mappato a network.http.response_code la risorsa è mappata a target.url target_ip è mappato a target.ip receive_bytes è mappato a network.received_bytes metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" riga di comando è mappata a principal.process.command_line |
| /var/log/syslog.log | 26 lug 23:13:03 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: INFO: Ricevuto richiesta di un nuovo agente (zsecmgr0000-0719) da: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({nomehost})da: {target_ip} | STATUS_UPDATE | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid log_level è mappato a security_result.severity Il messaggio è mappato a metadata.description riga di comando è mappata a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" target_ip è mappato a target.ip |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Nuova connessione da 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid log_level è mappato a security_result.severity descrizione è mappata a security_result.description command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | 29 gen 13:51:46 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: ERRORE: Nome agente non valido zsecmgr0000-0719 (duplicato) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid log_level è mappato a security_result.severity descrizione + motivo è mappato a security_result.description command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | 2 maggio 06:25:01 localhost apachectl[64942]: AH00558: apache2: impossibile determinare in modo affidabile il nome di dominio completo del server, utilizzando ::1. Imposta il valore "ServerName" a livello globale per eliminare questo messaggio | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" riga di comando è mappata a principal.process.command_line |
| /var/log/syslog.log | 2 maggio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 byte) tagliati | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" riga di comando è mappata a principal.process.command_line |
| /var/log/syslog.log | 3 maggio 10:14:37 localhost rsyslogd: userid di rsyslogd cambiato in 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time è mappato a metadata.collected_timestamp il nome host è mappato a principal.hostname il messaggio è mappato a metadata.description user_id è mappato a principal.user.userid riga di comando è mappata a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | 5 mag 10:36:48 localhost systemd[1]: Avvio del servizio di logging di sistema… | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time è mappato a metadata.event_timestamp il nome host è mappato a principal.hostname pid è mappato a principal.process.pid il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" riga di comando è mappata a principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.20Ghost4AtwH0 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname è mappato a target.hostname l'applicazione è mappata a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname l'applicazione è mappata a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname è mappato a target.hostname l'applicazione è mappata a target.application pid è mappato a target.process.pid resource_name è mappato a target.resource.name metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname l'applicazione è mappata a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:01 prod postfix/smtp[23436]: connessione a gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: la rete non è raggiungibile | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname è mappato a target.hostname l'applicazione è mappata a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relè=locale, ritardo=0.01, ritardi=0/0.01/0/0, dsn=2.0.0, stato=inviato (consegnato alla cassetta postale) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname l'applicazione è mappata a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/rundeck/service.log | [04-05-2022T17:03:11,166] WARN config.NavigableMap - Accesso alla chiave di configurazione "[filterNames]" la notazione con punti è deprecata e verrà rimossa in una versione futura. Utilizza "config.getProperty(key, targetClass)" . | [{timestamp}]{severity}{summary}\-{security_description}
, in {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | la riga di comando è mappata a "target.process.command_line" file_path è mappato a "target.process.file.full_path" il timestamp è mappato a "metadata.event_timestamp" la gravità è mappata a "security_result.severity" il riepilogo è mappato a "security_result.summary" security_description è mappato a "security_result.description" metadata.product_name è impostato su "OSSEC" metadata.vendor_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 27 21:03:03 Ubuntu18 systemd-logind[836]: Rimozione della sessione 3080. | {timestamp} {principal_hostname}{principal_application}(<campo_facoltativo>[{pid}]):{security_description}{network_session_id}?(dell'utente {principal_user_userid})? | USER_LOGOUT | il timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname è mappato a "target.hostname" altrimenti è mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, allora principal_application è mappato a "target.application" altrimenti è mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, pid è mappato a "target.process.pid" altrimenti è mappato a "principal.process.pid". security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" Se metadata.event_type è USER_LOGOUT, principal_user_userid è mappato a "principal.user.userid" altrimenti è mappato a "target.user.userid". "principal.platform" è mappato a "LINUX" if(Rimosso_sessione) event_type è impostato su USER_LOGOUT extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 28 11:33:24 Ubuntu18 systemd-logind[836]: Nuova sessione 3205 dell'utente root. | {timestamp} {principal_hostname}{principal_application}(<campo_facoltativo>[{pid}]):{security_description}{network_session_id}?(dell'utente {principal_user_userid})? | USER_LOGIN | il timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname è mappato a "target.hostname" altrimenti è mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, allora principal_application è mappato a "target.application" altrimenti è mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, pid è mappato a "target.process.pid" altrimenti è mappato a "principal.process.pid". security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" Se metadata.event_type è USER_LOGOUT, principal_user_userid è mappato a "principal.user.userid" altrimenti è mappato a "target.user.userid". "principal.platform" è mappato a "LINUX" "network.application_protocol" è mappato a "SSH" if(new_session) event_type è impostato su USER_LOGIN extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | 28 apr 11:35:31 Ubuntu18 sshd[23573]: password accettata per root dalla porta 10.0.1.1 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} per (utente non valido)?{principal_user_userid} dalla porta {principal_ip} {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | il timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname è mappato a "target.hostname" altrimenti è mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, allora principal_application è mappato a "target.application" altrimenti è mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, pid è mappato a "target.process.pid" altrimenti è mappato a "principal.process.pid". security_description è mappato a "security_result.description" Se metadata.event_type è USER_LOGOUT, principal_user_userid è mappato a "principal.user.userid" altrimenti è mappato a "target.user.userid". principal_ip è mappato a "principal.ip" principal_port è mappato a "principal.port" security_result_detection_fields_ssh_kv è mappato a "security_result.detection_fields.key/value" security_result_detection_fields_kv è mappato a "security_result.detection_fields.key/value" "principal.platform" è impostato su "LINUX" "network.application_protocol" sia impostato su "SSH" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): errore di autenticazione; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | il timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname è mappato a "target.hostname" altrimenti è mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, allora principal_application è mappato a "target.application" altrimenti è mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, pid è mappato a "target.process.pid" altrimenti è mappato a "principal.process.pid". security_description è mappato a "security_result.description" principal_user_uuserid è mappato a "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv è mappato a "principal.user.attribute.labels.key/value" principal_ruser_userid è mappato a "principal.user.attribute.labels.key/value" target_ip è mappato a "target.ip" Se metadata.event_type è USER_LOGOUT, allora principal_user_userid è mappato a "principal.user.userid" altrimenti è mappato a "target.user.userid" "principal.platform" è impostato su "LINUX" "network.application_protocol" sia impostato su "SSH" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Feb 24 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp è mappato a metadata.timestamp principal_hostname è mappato a principal.hostname principal_application è mappata a principal.application pid è mappato a principal.process.pid principal_user_idid è mappato a target.user.userid security_description è mappato a "security_result.description" principal_process_command_line_1 è mappato a "principal.process.command_line" principal_process_command_line_2 è mappato a "principal.process.command_line" principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" è impostato su "LINUX" |
| /var/log/auth.log | 26 aprile 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessione aperta per utente root da (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | il timestamp è mappato a metadata.timestamp Se metadata.event_type è USER_LOGOUT, principal_hostname è mappato a "target.hostname" altrimenti è mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, allora principal_application è mappato a "target.application" altrimenti è mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, pid è mappato a "target.process.pid" altrimenti è mappato a "principal.process.pid". security_description è mappato a "security_result.description" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" sia impostato su "LINUX" "network.application_protocol" sia impostato su "SSH" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | 26 aprile 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessione chiusa per root utente | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | il timestamp è mappato a metadata.timestamp Se metadata.event_type è USER_LOGOUT, principal_hostname è mappato a "target.hostname" altrimenti è mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, allora principal_application è mappato a "target.application" altrimenti è mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, pid è mappato a "target.process.pid" altrimenti è mappato a "principal.process.pid". security_description è mappato a "security_result.description" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". principal_user_attribute_labels_uid_kv è mappato a principal.user.attribute.labels.key/value "principal.platform" sia impostato su "LINUX" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | 24 maggio 12:56:31 ip-10-50-2-176 sshd[119931]: timeout, il client non risponde. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp è mappato a metadata.timestamp principal_hostname è mappato a principal.hostname principal_application è mappata a principal.application pid è mappato a principal.process.pid security_result_description è mappato a security_result_description "principal.platform" sia impostato su "LINUX" metadata.vendor_name è impostato su OSSEC metadata.product_name è impostato su OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: eliminazione della cache e ricostituzione con il numero di versione 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | il timestamp è mappato a "metadata.timestamp" pid è mappato a "principal.process.pid" principal_user_attribute_labels_kv è mappato a "principal.user.attribute.labels" principal_group_attribute_labels_kv è mappato a "principal.group.attribute.labels" principal_user_userid è mappato a "principal.user.userid" principal_group_product_object_id è mappato a "principal.group.product_object_id" security_description è mappato a "security_result.description" metadata_description è mappato a "metadata.description" metadata.product_name è impostato su "OSSEC" "metadata.vendor_name" è impostato su "OSSEC" |
| var/log/samba/log.winbindd | message_dgm_init: associazione non riuscita: spazio sul dispositivo esaurito | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name è impostato su "OSSEC" metadata.vendor_name" sia impostato su "OSSEC" user_id è mappato a principal.user.userid desc è mappato a metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Impara: 172.27.2 mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_facoltativo>'|")<testo_messaggio>-<testo_messaggio>{utente}\/{ip}:{port}MULTI:Impara:{local_ip}->{nome_host_target}?{target_ip}:{port}(<campo_facoltativo>'|") | NETWORK_HTTP | il timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity local_ip è mappato a principal.ip target_ip è mappato a target.ip target_hostname è mappato a principal.hostname porta è mappata a target.port utente è mappato a principal.user.user_display_name metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | il timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
il messaggio è mappato a <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | il timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
|
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 (stato=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_facoltativo>'|")<message_text>{utente}\/{ip}:{message}(<campo_facoltativo>'|") | STATUS_UPDATE | il timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description utente è mappato a principal.user.user_display_name ip è mappato a principal.ip metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | il timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description il riepilogo è mappato a security_result.summary user_name è mappato a principal.user.user_display_name cli è mappato a principal.process.command_line lo stato è mappato a principal.user.user_authentication_status metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" nomehost=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType nella scheda Mappatura EventType del log di controllo del foglio corrente | audit_log_type è mappato a metadata.product_event_type metadata_ingested_timestamp è mappato a "metadata.event_timestamp" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.plateform è impostato su "LINUX" i dati sono mappati alla coppia chiave-valore > mappatura UDM nella scheda audit.log del foglio corrente |
| var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFO: Inizio scansione syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | l'applicazione è mappata a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description. metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid la gravità è mappata a security_result.severity la riga di comando è mappata a target.process.command_line metadata_description è mappato a metadata.description. metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-analysisd(1210): ERRORE: Coda '/queue/alerts/ar' non accessibile: "Connessione rifiutata". | {timestamp} {application}(({pid}))<optional_field>{severity}: coda "{resource}"<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | l'applicazione è mappata a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description. La risorsa è mappata a target.resource.name metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata_description è mappato a metadata.description. metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignorang: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | l'applicazione è mappata a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata.vendor_name è impostato su OSSEC metadata.product_name è impostato su OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Lettura del file delle chiavi di autenticazione. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | l'applicazione è mappata a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description. metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1103): ERRORE: impossibile aprire il file '/queue/rids/004' a causa di [(13)-(Autorizzazione negata)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata_description è mappato a metadata.description. error_code è mappato a security_result.summary error_metadata_description è mappato a security_result.summary metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERRORE: Impossibile associare la porta '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | l'applicazione è mappata a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description. porta è mappata a target.port metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Lettura del file delle regole: "ms-se_rules.xml" | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | l'applicazione è mappata a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description. file_path è mappato a target.file.full_path metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:06 ossec-analysisd: INFO: Il file viene ignorato: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| processo ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | il protocollo è mappato a network.ip_protocol pid è mappato a principal.process.pid metadata.description è impostato su Nome programma: %{process_name} metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| syscheck | File "/usr/bin/fwts" modificato | File "{file_path}" {description} | FILE_MODIFICATION | description è mappato a metadata.description file_path è mappato a target.file.full_path metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
Controllo
Da campi del log di controllo a campi UDM
La seguente tabella elenca i campi del log per il tipo di audit log e i campi UDM corrispondenti.
| Campo log | Campo UDM |
|---|---|
| account | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| Auid | target.user.userid |
| gruppo | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dati | about.labels.key/value |
| sviluppomaggiore | about.labels.key/value |
| devminor | about.labels.key/value |
| Egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| famiglia | network.ip_protocol è impostato su "IP6IN4" se "ip_protocol" == 2 altrimenti è impostato su "PROTOCOL_IP_SCONOSCIUTA" |
| filetype | target.file.mime_type |
| Fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nome host | target.hostname |
| icmptype | network.ip_protocol è impostato su "ICMP" |
| ID | Se [audit_log_type] == "ADD_USER", target.user.userid è impostato su "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id viene impostato su "%{id}" altrimenti target.user.attribute.labels.key/value è impostato su id |
| Inode | target.resource.product_object_id |
| chiave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| modalità | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| nuova memoria | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| ossa | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogido | target.group.product_object_id |
| ouid | target.user.userid |
| percorso | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol è impostato su "IP6IN4"
altrimenti network.ip_protocol è impostato su "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| risultato | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ss | network.session_id |
| rigido | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| operazione riuscita | Se success=='yes', securtiy_result.summary è impostato su "system call was successfully" (La chiamata di sistema è stata completata)
else securtiy_result.summary è impostato su "systemcall non riuscito" |
| Suid | target.user.userid |
| syscall | about.labels.key/value |
| terminale | target.labels.key/value |
| TTY | target.labels.key/value |
| uid | Se [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_MAC_palD, utente è impostato su LOAD_USER_CM_pal.
altrimenti uid è impostato su target.user.userid |
| vm | target.resource.name |
Audit log da tipi di evento UDM
Nella tabella seguente sono elencati i tipi di audit log e i tipi di eventi UDM corrispondenti.
| Tipo di log di controllo | Tipo di evento UDM | Descrizione |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Si attiva quando viene aggiunto un gruppo dello spazio utente. |
| ADD_USER | USER_CREATION | Si attiva quando viene aggiunto un account utente dello spazio utente. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Si attiva quando un processo termina in modo anomalo (con un segnale che potrebbe causare un core dump, se abilitato). |
| AVC | GENERIC_EVENT | Attivato per registrare un controllo delle autorizzazioni SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene modificata la configurazione del sistema di controllo. |
| CRED_ACQ | USER_LOGIN | Si attiva quando un utente acquisisce le credenziali dello spazio utente. |
| CRED_DISP | USER_LOGOUT | Si attiva quando un utente elimina le credenziali dello spazio utente. |
| CRED_REFR | USER_LOGIN | Si attiva quando un utente aggiorna le credenziali dello spazio utente. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Attivazione della registrazione dell'identificatore della chiave di crittografia utilizzato per scopi crittografici. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Si attiva per registrare i parametri impostati durante la creazione di una sessione TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Attivazione della registrazione della directory di lavoro attuale. |
| DAEMON_ABORT | PROCESS_TERMINATION | Si attiva quando un daemon viene arrestato a causa di un errore. |
| DAEMON_END | PROCESS_TERMINATION | Si attiva quando un demone viene interrotto correttamente. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Si attiva quando il daemon controllato riprende la registrazione. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Viene attivato quando il daemon auditd esegue la rotazione dei file di log di controllo. |
| DAEMON_START | PROCESS_LAUNCH | Si attiva quando viene avviato il daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Si attiva quando viene eliminato un gruppo dello spazio utente |
| In attesa | USER_DELETION | Si attiva quando viene eliminato un utente dello spazio utente |
| EXECVE | PROCESS_LAUNCH | Attivazione della registrazione degli argomenti della chiamata di sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Si attiva quando viene modificato un valore booleano SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Si attiva per registrare informazioni su un evento IPSec, quando ne viene rilevato uno o quando la configurazione IPSec cambia. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Si attiva quando viene caricato un file di criteri SELinux. |
| MAC_STATUS | GENERIC_EVENT | Si attiva quando la modalità SELinux (applicazione, permissiva, disattivata) viene modificata. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Si attiva quando viene aggiunta un'etichetta statica quando si utilizzano le funzionalità di etichettatura dei pacchetti del kernel fornite da NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Si attiva quando vengono rilevate modifiche alla catena Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Si attiva per registrare informazioni su un processo a cui viene inviato un segnale. |
| PERCORSO | FILE_OPEN/GENERIC_EVENT | Attivazione della registrazione delle informazioni sul percorso del nome file. |
| SELINUX_ERR | GENERIC_EVENT | Si attiva quando viene rilevato un errore SELinux interno. |
| SERVICE_START | SERVICE_START | Si attiva all'avvio di un servizio. |
| SERVICE_STOP | SERVICE_STOP | Si attiva quando un servizio viene interrotto. |
| SISTEMA DI SICUREZZA | GENERIC_EVENT | Viene attivato per registrare una chiamata di sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Si attiva all'avvio del sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Si attiva quando viene modificato il livello di esecuzione del sistema. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Si attiva quando il sistema viene arrestato. |
| USER_ACCT | SETTING_MODIFICATION | Si attiva quando viene modificato un account utente dello spazio utente. |
| USER_AUTH | USER_LOGIN | Si attiva quando viene rilevato un tentativo di autenticazione nello spazio utente. |
| USER_AVC | USER_UNCATEGORIZED | Si attiva quando viene generato un messaggio AVC dello spazio utente. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene modificato un attributo dell'account utente. |
| USER_CMD | USER_COMMUNICATION | Si attiva quando viene eseguito un comando shell dello spazio utente. |
| USER_END | USER_LOGOUT | Si attiva quando una sessione nello spazio utente viene terminata. |
| USER_ERR | USER_UNCATEGORIZED | Si attiva quando viene rilevato un errore di stato dell'account utente. |
| USER_LOGIN | USER_LOGIN | Si attiva quando un utente esegue l'accesso. |
| USER_LOGOUT | USER_LOGOUT | Si attiva quando un utente si disconnette. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Si attiva quando un daemon dello spazio utente carica un criterio SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Attivazione della registrazione dei dati di gestione dello spazio utente. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Si attiva quando viene modificato il ruolo SELinux di un utente. |
| USER_START | USER_LOGIN | Si attiva quando viene avviata una sessione dello spazio utente. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene rilevata una modifica alla configurazione del sistema dello spazio utente. |
| VIRT_CONTROL | STATUS_UPDATE | Si attiva quando una macchina virtuale viene avviata, messa in pausa o arrestata. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Attivazione della registrazione dell'associazione di un'etichetta a una macchina virtuale. |
| VIRT_RESOURCE | ACCESSO_RISORSE_UTENTE | Attivazione della registrazione dell'assegnazione di risorse di una macchina virtuale. |
Posta
Invia campi del log a campi UDM
La seguente tabella elenca i campi del log per il tipo di log di posta e i campi UDM corrispondenti.
| Campo log | Campo UDM |
|---|---|
| Classe | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Da | network.email.from |
| MSgid | network.email.mail_id |
| Proto | network.application_protocol |
| Inoltro | intermediary.hostname
intermediary.ip |
| Dimensioni | network.received_bytes |
| Statistica | security_result.summary |
| a | network.email.to |
Tipi di log della posta al tipo di evento UDM
La tabella seguente elenca i tipi di log della posta e i relativi tipi di eventi UDM.
| Tipo di log di posta | Tipo di evento UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| ritiro | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| locale | EMAIL_UNCATEGORIZED |