Esta página foi traduzida pela API Cloud Translation.

Coletar registros do OSSEC

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar registros do OSSEC configurando o OSSEC e um forwarder de operações de segurança do Google. Este documento também lista os tipos de registro e a versão do OSSEC compatíveis.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Visão geral

O diagrama de arquitetura de implantação a seguir mostra como os agentes e servidores do OSSEC são configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

Sistema Linux. O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no agente do OSSEC.
Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorado em que o agente OSSEC está instalado.
Agente OSSEC. O agente do OSSEC coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o servidor do OSSEC.
Servidor OSSEC. O servidor do OSSEC monitora e recebe informações dos agentes do OSSEC, analisa os registros e os encaminha para o encaminhador das Operações de segurança do Google.
Encaminhador do Google Security Operations. O encaminhador de operações de segurança do Google é um componente de software leve, implantado na rede do cliente, que oferece suporte ao syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.
Google Security Operations. O Google Security Operations retém e analisa os registros do servidor OSSEC.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência OSSEC.

Antes de começar

Verifique se o agente do OSSEC está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre a instalação do agente do OSSEC, consulte Instalação do OSSEC.
Use uma versão do OSSEC compatível com o analisador do Google Security Operations. O analisador de operações de segurança do Google oferece suporte à versão 3.6.0 do OSSEC.
Verifique se o servidor OSSEC está instalado e configurado no servidor Linux central.

Verifique os tipos de registro compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e caminhos de arquivo de registro compatíveis com o analisador de operações de segurança do Google:

Sistema operacional	Produto	Caminho do arquivo de registro
Microsoft Windows	Microsoft Windows	Logs de eventos
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	Linux	/var/log/ulog/syslogemu.log
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	rkhunter	/var/log/rkhunter.log
Linux: servidor OSSEC	OSSEC	/var/ossec/logs/ossec.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	rundeck	/var/log/rundeck/rundeck.api.log
Linux	rundeck	/var/log/rundeck/service.log
Linux	Samba	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

Configurar o agente e o servidor do OSSEC e o encaminhador de operações de segurança do Google

Para configurar o agente e o servidor do OSSEC e o encaminhador de operações de segurança do Google, faça o seguinte:

Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo ossec.conf para especificar a configuração de monitoramento de registros do agente. Confira um exemplo de arquivo de configuração do agente no sistema Linux:

<ossec_config>

<!-- Files to monitor (localfiles) -->
<localfile>
 <log_format>syslog</log_format>
 <location>/var/ossec/logs/ossec.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/auth.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/kern.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/mail.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/syslog</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/error.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/other_vhost_access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/nonvnc-server-access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/error.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/openvpnas.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rkhunter.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rundeck/service.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/samba/log.winbindd</location>
</localfile>

<localfile>
 <log_format>command</log_format>
 <command>df -P</command>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/audit/audit.log</location>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>last -n 5</command>
</localfile>
</ossec_config>

Para monitorar os registros gerados pelos sistemas do Microsoft Windows, crie um arquivo ossec.conf para especificar a configuração de monitoramento de registros do agente. Confira um exemplo de arquivo de configuração do agente no sistema Microsoft Windows:

<ossec_config>
<!-- Channels to monitor (localfiles) -->
<localfile>
 <log_format>Security</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>System</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>Application</log_format>
 <location>eventchannel</location>
</localfile>
</ossec_config>

Para encaminhar os registros do servidor OSSEC para o Google Security Operations usando o protocolo syslog, crie o arquivo de configuração do servidor OSSEC syslog.conf neste formato:
```
.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
```
Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o forwarder no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:
```
  - syslog:
      common:
        enabled: true
        data_type: OSSEC
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10514
      connection_timeout_sec: 60
```

Referência do mapeamento de campo

Esta seção explica como o analisador de operações de segurança do Google aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do OSSEC para campos do modelo de dados unificado (UDM, na sigla em inglês) de operações de segurança do Google para cada tipo de registro.

Para informações sobre o mapeamento de referência de campos comuns, consulte Campos comuns.

Para informações de referência sobre caminhos de registro, padrões de grok para exemplos de registros, tipos de eventos e campos de UDM em sistemas Linux, consulte as seguintes seções:

Linux
Auditoria
Tipo de evento do registro de auditoria
E-mail
Tipo de evento de registro de e-mail

Para informações sobre os eventos do Microsoft Windows aceitos e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.

Campos comuns

A tabela a seguir lista os campos de registro comuns e os campos correspondentes do UDM.

Campo de registro comum	Campo de UDM
collected_time	metadata.collected_timestamp
aplicativo	principal.application
log	metadata.description
ip	target.ip ou principal.ip
nome do host	target.hostname ou principal.hostname

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão Grok para exemplos de registros, o tipo de evento e os mapeamentos de UDM:

Caminho do registro	Exemplo de registro	Padrão Grok	Tipo de evento	Mapeamento de UDM
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] Falha na conexão	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port é mapeado para principal.port error_message é associado a security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] Falha na conexão	[{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}\|)]{error_message}	NETWORK_UNCATEGORIZED	O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid error_message é associado a security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2'	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port é mapeado para principal.port error_message é associado a security_result.description target.platform está definido como "LINUX" referer_url é mapeado para network.http.referral_url
/var/log/apache2/error.log	Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?"	NETWORK_HTTP	O carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity O pid é mapeado para target.process.parent_process.pid O tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port é mapeado para principal.port error_message é associado a security_result.description target_ip é associado a target.ip referer_url é mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/error.log	[Sáb 02 de fev de 2019 00:30:55] Nova conexão: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	O carimbo de data/hora é mapeado para metadata.event_timestamp client_ip é mapeado para principal.ip client_port é mapeado para principal.port connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/error.log	[Sáb 02 de fev de 2019 00:30:55] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	O carimbo de data/hora é mapeado para metadata.event_timestamp request_id é mapeado para security_result.detection_fields.(chave/valor) client_ip é mapeado para principal.ip client_port é mapeado para principal.port O pid é mapeado para target.process.parent_process.pid connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: O arquivo não existe: /usr/local/apache2/htdocs/favicon.ico	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	O carimbo de data/hora é mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id é mapeado para security_result.detection_fields.(chave/valor) client_ip é mapeado para principal.ip client_port é mapeado para principal.port O pid é mapeado para target.process.parent_process.pid connection_id é mapeado para network.session_id error_message é associado a security_result.description file_path é mapeado para target.file.full_path network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/access.log	10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36"	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)?	NETWORK_HTTP	client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid host é mapeado para principal.hostname O carimbo de data/hora é mapeado para metadata.event_timestamp O método é mapeado para network.http.method O recurso é mapeado para principal.resource.name client_protocol é mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
var/log/apache2/other_vhosts_access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host é mapeado para target.hostname target_port é mapeado para target.port client_ip é mapeado para principal.ip userid é mapeado para principal.user.userid host é mapeado para principal.hostname O carimbo de data/hora é mapeado para metadata.event_timestamp O método é mapeado para network.http.method O recurso é mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP"
/var/log/apache2/access.log	"http://192.0.2.1/test/first.html" -> /altostrat.com	(<optional_field>{referer_url}?)->(<optional_field>{path}?)	GENERIC_EVENT	O caminho é mapeado para target.url referer_url é mapeado para network.http.referral_url network.direction está definido como "SAÍDA" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	(<optional_field>{user_agent})	GENERIC_EVENT	user_agent é mapeado para network.http.user_agent network.direction está definido como "SAÍDA" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server"
var/log/nginx/access.log	172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36"	{principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	O horário é mapeado para metadata.timestamp O IP é mapeado para target.ip principal_ip é mapeado para principal.ip principal_user_userid é mapeado para principal.user.userid metadata_timestamp é associado ao carimbo de data/hora http_method é mapeado para network.http.method resource_name é mapeado para principal.resource.name O protocolo é mapeado para network.application_protocol = (HTTP) response_code é mapeado para network.http.response_code received_bytes é mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent é mapeado para network.http.user_agent target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA"
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\"	"{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}" inner_message2 é mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}? {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() para ({target_ip}\|[{target_ip}]):{target_port} falhou ({security_description})", "\*{cid}{security_description}", "{security_description}"	NETWORK_HTTP	thread_id é mapeado para principal.process.pid A gravidade é mapeada para security_result.severity (debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH) target_file_full_path é mapeado para target.file.full_path principal_ip é mapeado para principal.ip target_hostname é mapeado para target.hostname http_method é mapeado para network.http.method resource_name é mapeado para principal.resource.name O protocolo é mapeado para "TCP" target_ip é associado a target.ip target_port é mapeado para target.port security_description + security_result_description_2 é mapeado para security_result.description O pid é mapeado para principal.process.parent_process.pid network.application_protocol está definido como "HTTP" O carimbo de data/hora é mapeado para %{year}/%{day}/%{month} %{time} target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "SAÍDA"
var/log/rkhunter.log	[14:10:40] Falha na verificação de comandos obrigatórios	[<message_text>]{security_description}	STATUS_UPDATE	O horário é mapeado para metadata.timestamp securtiy_description é mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter"
var/log/rkhunter.log	[14:09:52] Verificando se o arquivo '/dev/.oz/.nap/rkit/terror' existe [ Não encontrado ]	[<message_text>] {security_description} {file_path}[{metadata_description}]	FILE_UNCATEGORIZED	metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path security_description é mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter"
var/log/rkhunter.log	ossec: o tamanho do arquivo foi reduzido (o inode permaneceu): '/var/log/rkhunter.log'.	(<optional_field><message_text>:){metadata_description}:'{file_path}'	FILE_UNCATEGORIZED	O horário é mapeado para metadata.timestamp metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter"
/var/log/kern.log	Jul 7 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5	{timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid}	NETWORK_CONNECTION	O carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" target_ip é mapeado para "target.ip" principal_ip é mapeado para "principal.ip" target_user_userid é mapeado para "target.user.userid" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
/var/log/kern.log	Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752	{timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid}	STATUS_UPDATE	O carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" metadata_description é associado a "metadata.description" file_path é mapeado para "principal.process.file" O pid é mapeado para "principal.process.pid". metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
/var/log/kern.log	28 de abril de 12:41:35 Kernel do localhost: [ 5079.912215] ctnetlink v0.93: registro com nfnetlink.	{timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description}	STATUS_UPDATE	O carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
/var/log/kern.log	28 de abr.11:17:01 Kernel do localhost: [ 0.030139] smpboot: CPU0: CPU Intel(R) Xeon(R) Gold 5220R a 2,20 GHz (família: 0x6, modelo: 0x55, passo: 0x7)	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	O carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" cpu_model é mapeado para principal.asset.hardware.cpu_model
/var/log/syslog.log	29 de janeiro 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179	{collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes}	NETWORK_CONNECTION	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid http_method é mapeado para network.http.method response_code é mapeado para network.http.response_code O recurso é mapeado para target.url target_ip é associado a target.ip received_bytes é mapeado para network.received_bytes metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line é mapeado para principal.process.command_line
/var/log/syslog.log	26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Recebida solicitação para um novo agente (zsecmgr0000-0719) de: 3.4.5.6	{collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip}	STATUS_UPDATE	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid log_level é mapeado para security_result.severity A mensagem é mapeada para metadata.description command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" target_ip é associado a target.ip
/var/log/syslog.log	26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Nova conexão de 3.4.5.6	{collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip}	STATUS_UPDATE	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid log_level é mapeado para security_result.severity description é mapeado para security_result.description command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
/var/log/syslog.log	Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated)	{collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason})	STATUS_UPDATE	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid log_level é mapeado para security_result.severity description + reason é mapeado para security_result.description command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
/var/log/syslog.log	2 de maio 06:25:01 localhost apachectl[64942]: AH00558: apache2: não foi possível determinar de forma confiável o nome de domínio totalmente qualificado do servidor usando ::1. Defina a diretiva "ServerName" globalmente para suprimir essa mensagem	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid A mensagem é mapeada para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line é mapeado para principal.process.command_line
/var/log/syslog.log	2 de maio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 bytes) aparado	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid A mensagem é mapeada para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line é mapeado para principal.process.command_line
/var/log/syslog.log	3 de maio 10:14:37 localhost rsyslogd: o userid de rsyslogd foi alterado para 102	{collected_timestamp}{hostname}{command_line}:{message}to{user_id}	STATUS_UPDATE	collected_time é associado a metadata.collected_timestamp O nome do host é mapeado para principal.hostname A mensagem é mapeada para metadata.description user_id é mapeado para principal.user.userid command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
/var/log/syslog.log	May 5 10:36:48 localhost systemd[1]: Iniciando o serviço de registro do sistema...	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	collected_time é mapeado para metadata.event_timestamp O nome do host é mapeado para principal.hostname O pid é mapeado para principal.process.pid A mensagem é mapeada para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line é mapeado para principal.process.command_line
/var/log/mail.log	Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1]	{timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV}	STATUS_UPDATE	target_hostname é mapeado para target.hostname O aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/mail.log	7 de abr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname é mapeado para target.hostname O aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/mail.log	7 de abr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01>	{timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}>	STATUS_UPDATE	target_hostname é mapeado para target.hostname O aplicativo é mapeado para target.application pid é mapeado para target.process.pid resource_name é associado a target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/mail.log	7 de abr. 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname é mapeado para target.hostname O aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/mail.log	7 de abril 13:44:01 prod postfix/smtp[23436]: conexão com gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: a rede não está acessível	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	STATUS_UPDATE	target_hostname é mapeado para target.hostname O aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/mail.log	Apr 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname é mapeado para target.hostname O aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap: o acesso à chave de configuração "[filterNames]" usando a notação de ponto foi descontinuado e será removido em uma versão futura. Use "config.getProperty(key, targetClass)".	[{timestamp}]{severity}{summary}\-{security_description} , em {command_line}${file_path}:<message_text>$	STATUS_UPDATE	command_line é mapeado para "target.process.command_line" file_path é mapeado para "target.process.file.full_path" O carimbo de data/hora é mapeado para "metadata.event_timestamp" A gravidade é mapeada para "security_result.severity" O resumo é mapeado para "security_result.summary". security_description é mapeado para "security_result.description" metadata.product_name está definido como "OSSEC" metadata.vendor_name está definido como "OSSEC"
/var/log/auth.log	27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: sessão 3080 removida.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGOUT	O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" network_session_id é mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". "principal.platform" está mapeado para "LINUX" if(removed_session) event_type é definido como USER_LOGOUT extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/auth.log	28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: nova sessão 3205 do usuário raiz.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGIN	O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" network_session_id é mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". "principal.platform" está mapeado para "LINUX" "network.application_protocol" é mapeado para "SSH" if(new_session) event_type é definido como USER_LOGIN extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/auth.log	28 de abril de 11:35:31 Ubuntu18 sshd[23573]: senha aceita para raiz de 10.0.1.1 porta 40503 ssh2	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})?	USER_LOGIN	O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". principal_ip é mapeado para "principal.ip" principal_port é mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/auth.log	28 de abril de 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): falha de autenticação; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root	{timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}\|{principal_user_userid})?)?	USER_LOGIN	O carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" principal_user_uuserid é mapeado para "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv é mapeado para "principal.user.attribute.labels.key/value" principal_ruser_userid é mapeado para "principal.user.attribute.labels.key/value" target_ip é mapeado para "target.ip" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid". "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/auth.log	24 de fev 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2}	STATUS_UPDATE	O carimbo de data/hora é associado a metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application é mapeado para principal.application O pid é mapeado para principal.process.pid principal_user_userid é mapeado para target.user.userid security_description é mapeado para "security_result.description" principal_process_command_line_1 é mapeado para "principal.process.command_line" principal_process_command_line_2 é mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX"
/var/log/auth.log	26 de abril de 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão aberta para o usuário raiz por (uid=0)	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGIN	O carimbo de data/hora é associado a metadata.timestamp Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/auth.log	26 de abril de 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão fechada para o usuário raiz	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGOUT	O carimbo de data/hora é associado a metadata.timestamp Se metadata.event_type for USER_LOGOUT, principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele será mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
/var/log/auth.log	24 de maio 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, o cliente não está respondendo.	{timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description}	STATUS_UPDATE	O carimbo de data/hora é associado a metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application é mapeado para principal.application O pid é mapeado para principal.process.pid security_result_description é mapeado para security_result_description "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC
var/log/samba/log.winbindd	[2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: limpeza do cache e recriação com o número da versão 2	{timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	STATUS_UPDATE	O carimbo de data/hora é mapeado para "metadata.timestamp" O pid é mapeado para "principal.process.pid". principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels" principal_user_userid é mapeado para "principal.user.userid" principal_group_product_object_id é mapeado para "principal.group.product_object_id" security_description é mapeado para "security_result.description" metadata_description é mapeado para "metadata.description" metadata.product_name está definido como "OSSEC" "metadata.vendor_name" está definido como "OSSEC"
var/log/samba/log.winbindd	messaging_dgm_init: falha na vinculação: não há espaço livre no dispositivo	{user_id}: {desc}	STATUS_UPDATE	metadata.product_name está definido como "OSSEC" metadata.vendor_name" está definido como "OSSEC" user_id é mapeado para principal.user.userid desc é mapeado para metadata.description
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity local_ip é mapeado para principal.ip target_ip é associado a target.ip target_hostname é mapeado para principal.hostname a porta é mapeada para target.port O usuário é mapeado para principal.user.user_display_name metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX"
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	STATUS_UPDATE	O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity msg é mapeado para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX"
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") A mensagem é mapeada para <message_text>with[<message_text>]<message_text>:{port}<message_text>	STATUS_UPDATE	O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX"
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)"	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{user}\/{ip}:{message}(<optional_field>'\|")	STATUS_UPDATE	O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description O usuário é mapeado para principal.user.user_display_name O IP é mapeado para principal.ip metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX"
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752'	{timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	STATUS_UPDATE	O carimbo de data/hora é associado a metadata.timestamp log_level é mapeado para security_result.severity A mensagem é mapeada para security_result.description O resumo é mapeado para security_result.summary user_name é mapeado para principal.user.user_display_name A CLI é mapeada para principal.process.command_line O status é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX"
/var/log/audit.log	type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success'	type={audit_log_type}=audit((<optional_field>{metadata_ingested_timestamp}\|{metadata_ingested_timestamp})<message_text>:<message_text>):{audit_message}	EventType na guia "Mapeamento de EventType" do registro de auditoria da página atual	audit_log_type é associado a metadata.product_event_type metadata_ingested_timestamp é mapeado para "metadata.event_timestamp" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.plateform está definido como "LINUX" Os dados são mapeados para o par de chave-valor > Mapeamento de UDM na guia "audit.log" da planilha atual
var/ossec/logs/ossec.log	2022/05/12 18:15:34 ossec-syscheckd: INFO: Iniciando a verificação do syscheck	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}	STATUS_UPDATE	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:34:27 ossec-logcollector: INFO: Monitorando a saída completa do comando(360): last -n 5	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.command.(<message_text>)):{command_line}	PROCESS_UNCATEGORIZED	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity command_line é mapeado para target.process.command_line metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:34:27 ossec-analysisd(1210): ERRO: a fila '/queue/alerts/ar' não está acessível: 'Conexão recusada'.	{timestamp} {application}(({pid})<optional_field>{severity}: Enfileirar '{resource}'<message_text>:'{metadata_description}'	USER_RESOURCE_ACCESS	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description O recurso é mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'.	{timestamp} {application}(({pid})<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}'	FILE_UNCATEGORIZED	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl'	{timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}'	SCAN_PROCESS	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC
var/ossec/logs/ossec.log	2022/05/11 19:34:21 ossec-remoted(1410): INFO: Leitura do arquivo de chaves de autenticação.	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}	STATUS_UPDATE	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:34:21 ossec-remoted(1103): ERRO: não foi possível abrir o arquivo '/queue/rids/004' devido a [(13)-(Permission denied)].	{timestamp} {application}(({pid})<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})]	FILE_UNCATEGORIZED	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path metadata_description é mapeado para metadata.description error_code é associado a security_result.summary error_metadata_description é mapeado para security_result.summary metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/03/23 13:00:51 ossec-remoted(1206): ERRO: não foi possível vincular a porta "1514"	{timestamp} {application}(({pid})<optional_field>{severity}:{metadata_description}port'{port}'	STATUS_UPDATE	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description a porta é mapeada para target.port metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:32:05 ossec-analysisd: INFO: Leitura do arquivo de regras: 'ms-se_rules.xml'	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}'	FILE_READ	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
var/ossec/logs/ossec.log	2022/05/11 19:32:06 ossec-analysisd: INFO: Ignorando arquivo: '/etc/mnttab'	{timestamp} {application}(({pid})<optional_field>{severity}:<message_text>(ignoring\|Ignoring file)<message_text>:'{file_path}'	FILE_UNCATEGORIZED	O aplicativo é mapeado para target.application pid é mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC"
processo ntpd	udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd	{protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name}	STATUS_UPDATE	O protocolo é mapeado para network.ip_protocol O pid é mapeado para principal.process.pid metadata.description está definido como Nome do programa: %{process_name} metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"
syscheck	O arquivo "/usr/bin/fwts" foi modificado.	Arquivo "{file_path}" {description}	FILE_MODIFICATION	A descrição é mapeada para metadata.description file_path é mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX"

Auditoria

Campos de registro de auditoria para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos correspondentes do UDM.

Campo de registro	Campo de UDM
conta	target.user.user_display_name
addr	principal.ip
arch	about.labels.key/value
auid	target.user.userid
cgroup	principal.process.file.full_path
cmd	target.process.command_line
comm	target.application
cwd	target.file.full_path
dados	about.labels.key/value
devmajor	about.labels.key/value
devminor	about.labels.key/value
egid	target.group.product_object_id
euid	target.user.userid
exe	target.process.file.full_path
exit	target.labels.key/value
família	network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, ele é definido como "UNKNOWN_IP_PROTOCOL".
filetype	target.file.mime_type
fsgid	target.group.product_object_id
fsuid	target.user.userid
gid	target.group.product_object_id
nome do host	target.hostname
icmptype	network.ip_protocol está definido como "ICMP"
id	Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}" Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}" Caso contrário, target.user.attribute.labels.key/value é definido como id.
inode	target.resource.product_object_id
chave	security_result.detection_fields.key/value
list	security_result.about.labels.key/value
modo	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
nome	target.file.full_path
new-disk	target.resource.name
new-mem	target.resource.attribute.labels.key/value
new-vcpu	target.resource.attribute.labels.key/value
new-net	pincipal.mac
new_gid	target.group.product_object_id
oauid	target.user.userid
ocomm	target.process.command_line
opid	target.process.pid
oses	network.session_id
ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
ogid	target.group.product_object_id
ouid	target.user.userid
path	target.file.full_path
permanente	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
proto	Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4" Caso contrário, network.ip_protocol é definido como "UNKNOWN_IP_PROTOCOL".
res	security_result.summary
result	security_result.summary
saddr	security_result.detection_fields.key/value
sauid	target.user.attribute.labels.key/value
ses	network.session_id
sgid	target.group.product_object_id
sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
sucesso	Se success=='yes', securtiy_result.summary é definido como 'system call was successful' Caso contrário, o "securtiy_result.summary" é definido como "systemcall was failed".
suid	target.user.userid
syscall	about.labels.key/value
terminal	target.labels.key/value
tty	target.labels.key/value
uid	Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] o uid é definido como principal.user.userid Caso contrário, o uid é definido como target.user.userid
vm	target.resource.name

Tipos de registro de auditoria para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de auditoria e os tipos de evento do UDM correspondentes.

Tipo de registro de auditoria	Tipo de evento do UDM	Descrição
ADD_GROUP	GROUP_CREATION	Acionado quando um grupo de espaço do usuário é adicionado.
ADD_USER	USER_CREATION	Acionado quando uma conta de usuário do espaço do usuário é adicionada.
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	Acionado quando um processo é encerrado de forma anormal (com um sinal que pode causar um dump de núcleo, se ativado).
AVC	GENERIC_EVENT	Acionado para registrar uma verificação de permissão do SELinux.
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	Acionado quando a configuração do sistema de auditoria é modificada.
CRED_ACQ	USER_LOGIN	Acionado quando um usuário adquire credenciais do espaço do usuário.
CRED_DISP	USER_LOGOUT	Acionado quando um usuário descarta credenciais do espaço do usuário.
CRED_REFR	USER_LOGIN	Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	Acionado para registrar o identificador da chave criptográfica usado para fins criptográficos.
CRYPTO_SESSION	PROCESS_TERMINATION	Acionado para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS.
CWD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT	PROCESS_TERMINATION	Acionada quando um daemon é interrompido devido a um erro.
DAEMON_END	PROCESS_TERMINATION	Acionado quando um daemon é interrompido.
DAEMON_RESUME	PROCESS_UNCATEGORIZED	Acionado quando o daemon auditd retoma o registro.
DAEMON_ROTATE	PROCESS_UNCATEGORIZED	Acionado quando o daemon auditd rotaciona os arquivos de registro de auditoria.
DAEMON_START	PROCESS_LAUNCH	Acionado quando o daemon auditd é iniciado.
DEL_GROUP	GROUP_DELETION	Acionado quando um grupo de espaço do usuário é excluído
Pendente	USER_DELETION	Acionado quando um usuário do espaço do usuário é excluído
EXECVE	PROCESS_LAUNCH	Acionado para registrar argumentos da chamada de sistema execve(2).
MAC_CONFIG_CHANGE	GENERIC_EVENT	Acionado quando um valor booleano SELinux é alterado.
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Acionado para registrar informações sobre um evento IPSec quando um é detectado ou quando a configuração do IPSec muda.
MAC_POLICY_LOAD	GENERIC_EVENT	Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS	GENERIC_EVENT	Acionado quando o modo SELinux (restrito, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecidos pelo NetLabel.
NETFILTER_CFG	GENERIC_EVENT	Acionado quando modificações da cadeia Netfilter são detectadas.
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Acionado para registrar informações sobre um processo para o qual um sinal é enviado.
CAMINHO	FILE_OPEN/GENERIC_EVENT	Acionado para registrar informações do caminho do nome do arquivo.
SELINUX_ERR	GENERIC_EVENT	Acionada quando um erro interno do SELinux é detectado.
SERVICE_START	SERVICE_START	Acionado quando um serviço é iniciado.
SERVICE_STOP	SERVICE_STOP	Acionado quando um serviço é interrompido.
SYSCALL	GENERIC_EVENT	Acionada para registrar uma chamada de sistema no kernel.
SYSTEM_BOOT	STATUS_STARTUP	Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL	STATUS_UPDATE	Acionado quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN	STATUS_SHUTDOWN	Acionado quando o sistema é desligado.
USER_ACCT	SETTING_MODIFICATION	Acionado quando uma conta de usuário do espaço do usuário é modificada.
USER_AUTH	USER_LOGIN	Acionado quando uma tentativa de autenticação no espaço do usuário é detectada.
USER_AVC	USER_UNCATEGORIZED	Acionado quando uma mensagem AVC do espaço do usuário é gerada.
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	Acionado quando um atributo da conta de usuário é modificado.
USER_CMD	USER_COMMUNICATION	Acionado quando um comando de shell no espaço do usuário é executado.
USER_END	USER_LOGOUT	Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR	USER_UNCATEGORIZED	Acionado quando um erro de estado da conta de usuário é detectado.
USER_LOGIN	USER_LOGIN	Acionado quando um usuário faz login.
USER_LOGOUT	USER_LOGOUT	Acionado quando um usuário sai da conta.
USER_MAC_POLICY_LOAD	RESOURCE_READ	Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT	USER_UNCATEGORIZED	Acionado para registrar dados de gerenciamento do espaço do usuário.
USER_ROLE_CHANGE	USER_CHANGE_PERMISSIONS	Acionado quando o papel do SELinux de um usuário é alterado.
USER_START	USER_LOGIN	Acionado quando uma sessão do espaço do usuário é iniciada.
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	Acionado quando uma mudança de configuração do sistema no espaço do usuário é detectada.
VIRT_CONTROL	STATUS_UPDATE	Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID	USER_RESOURCE_ACCESS	Acionado para registrar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE	USER_RESOURCE_ACCESS	Acionado para registrar a atribuição de recursos de uma máquina virtual.

E-mail

Campos de registro de e-mail para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos correspondentes do UDM.

Campo de registro	Campo de UDM
Turma	about.labels.key/value
Ctladdr	principal.user.user_display_name
De	network.email.from
Msgid	network.email.mail_id
Proto	network.application_protocol
Conexão relay	intermediary.hostname intermediary.ip
Tamanho	network.received_bytes
Estatística	security_result.summary
a	network.email.to

Tipos de registro de e-mail para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento do UDM correspondentes.

Tipo de registro de e-mail	Tipo de evento do UDM
sendmail	GENERIC_EVENT
pickup	EMAIL_UNCATEGORIZED
cleanup	GENERIC_EVENT
qmgr	EMAIL_UNCATEGORIZED
smtp	GENERIC_EVENT
Local	EMAIL_UNCATEGORIZED

A seguir

Ingestão de dados no Google Security Operations

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.