Diese Seite wurde von der Cloud Translation API übersetzt.

OSSEC-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie OSSEC-Logs durch Konfiguration von OSSEC erfassen und Google Security Operations-Forwarder. In diesem Dokument sind auch die unterstützten Protokolltypen und die unterstützte OSSEC-Version aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Übersicht

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie OSSEC-Agents und Server sind so konfiguriert, dass Protokolle an Google Security Operations gesendet werden. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.

Bereitstellungsarchitektur

Das Architekturdiagramm zeigt die folgenden Komponenten:

Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus die zu überwachenden Dateien und den OSSEC-Agenten.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, auf dem der OSSEC-Agent installiert ist.
OSSEC-Agent: Der OSSEC-Agent erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den OSSEC-Server weiter.
OSSEC-Server. Der OSSEC-Server überwacht und empfängt Informationen vom OSSEC-Agents analysiert die Protokolle und leitet sie an den Google Security Operations-Forwarder weiter.
Google Security Operations-Forwarder. Der Google Security Operations-Weiterleiter ist eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und syslog unterstützt. Der Google Security Operations-Weiterleiter leitet die Protokolle an Google Security Operations weiter.
Google Security Operations Google Security Operations speichert und analysiert die Logs des OSSEC-Servers.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten normalisiert in das strukturierte UDM-Format. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel OSSEC.

Hinweise

Der OSSEC-Agent muss auf den Microsoft Windows- oder Linux-Systemen installiert sein, die Sie überwachen möchten. Weitere Informationen zur Installation des OSSEC-Agents finden Sie unter OSSEC-Installation.
Verwenden Sie eine OSSEC-Version, die vom Google Security Operations-Parser unterstützt wird. Google Security Operations Der Parser unterstützt OSSEC Version 3.6.0.
Achten Sie darauf, dass der OSSEC-Server auf dem zentralen Linux-Server installiert und konfiguriert ist.

Prüfen Sie, welche Protokolltypen vom Google Security Operations-Parser unterstützt werden. In der folgenden Tabelle sind die Produkte und Pfadnamen von Protokolldateien aufgeführt, die vom Google Security Operations-Parser unterstützt werden:

Betriebssystem	Produkt	Protokolldateipfad
Microsoft Windows	Microsoft Windows	Ereignisprotokolle
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	Linux	/var/log/ulog/syslogemu.log
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	rkhunter	/var/log/rkhunter.log
Linux – OSSEC-Server	OSSEC	/var/ossec/logs/ossec.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	rundeck	/var/log/rundeck/rundeck.api.log
Linux	rundeck	/var/log/rundeck/service.log
Linux	Samba	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.

OSSEC-Agent und ‑Server sowie Google Security Operations-Weiterleiter konfigurieren

So konfigurieren Sie den OSSEC-Agent und -Server sowie die Google Security Operations-Weiterleitung:

Wenn Sie die von den Linux-Systemen generierten Protokolle überwachen möchten, erstellen Sie eine ossec.conf-Datei, um die Protokollüberwachungskonfiguration für den Agenten anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Linux-System:

<ossec_config>

<!-- Files to monitor (localfiles) -->
<localfile>
 <log_format>syslog</log_format>
 <location>/var/ossec/logs/ossec.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/auth.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/kern.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/mail.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/syslog</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/error.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/other_vhost_access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/nonvnc-server-access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/error.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/openvpnas.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rkhunter.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rundeck/service.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/samba/log.winbindd</location>
</localfile>

<localfile>
 <log_format>command</log_format>
 <command>df -P</command>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/audit/audit.log</location>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>last -n 5</command>
</localfile>
</ossec_config>

Zum Überwachen der Logs, die von den Microsoft Windows-Systemen generiert werden, erstellen Sie einen ossec.conf -Datei, um die Log-Monitoring-Konfiguration für den Agent anzugeben. Hier ist ein Beispiel für eine Konfigurationsdatei für den Agenten auf dem Microsoft Windows-System:

<ossec_config>
<!-- Channels to monitor (localfiles) -->
<localfile>
 <log_format>Security</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>System</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>Application</log_format>
 <location>eventchannel</location>
</localfile>
</ossec_config>

Wenn Sie die Protokolle vom OSSEC-Server über das syslog-Protokoll an Google Security Operations weiterleiten möchten, erstellen Sie die OSSEC-Serverkonfigurationsdatei syslog.conf im folgenden Format:
```
.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
```
Konfigurieren Sie den Google Security Operations-Weiterleiter so, dass Protokolle an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration eines Google Security Operations-Weiterleitungsservers:
```
  - syslog:
      common:
        enabled: true
        data_type: OSSEC
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10514
      connection_timeout_sec: 60
```

Feldzuordnungsreferenz

In diesem Abschnitt wird erläutert, wie der Google Security Operations-Parser Grok-Muster für Linux- und Microsoft Windows-Systeme und die Zuordnung von OSSEC-Protokollfeldern zu UDM-Feldern (Google Security Operations Unified Data Model) für jeden Logtyp

Informationen zur Zuordnungsreferenz für allgemeine Felder finden Sie unter Allgemeine Felder.

Referenzinformationen über Log-Pfade, Grok-Muster für Beispiel-Logs, Ereignistypen, finden Sie in den folgenden Abschnitten:

Linux
Prüfung
Audit-Log-Ereignistyp
E-Mail
Ereignistyp im E-Mail-Protokoll

Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.

Allgemeine Felder

In der folgenden Tabelle sind die gängigen Protokollfelder und die entsprechenden UDM-Felder aufgeführt.

Gemeinsames Logfeld	UDM-Feld
collected_time	metadata.collected_timestamp
Anwendung	principal.application
log	metadata.description
ip	target.ip oder principal.ip
Hostname	target.hostname oder principal.hostname

Linux-System

In der folgenden Tabelle sind die Logpfade für das Linux-System, das Grok-Muster für Beispielprotokolle, der Ereignistyp und die UDM-Zuordnungen aufgeführt:

Logpfad	Beispiellog	Grok-Muster	Ereignistyp	UDM-Zuordnung
/var/log/apache2/error.log	[Do, 28. April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] konnte keine Verbindung herstellen	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. "pid" wird "target.process.parent_process.pid" zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen	[{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}\|)]{error_message}	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2'	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. "pid" wird "target.process.parent_process.pid" zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target.platform ist auf "LINUX" festgelegt „referenceer_url“ ist „network.http.referral_url“ zugeordnet.
/var/log/apache2/error.log	Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?"	NETWORK_HTTP	Der Zeitstempel wird metadata.event_timestamp zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. "pid" wird "target.process.parent_process.pid" zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet „error_message“ wird auf „security_result.description“ zugeordnet. target_ip ist target.ip zugeordnet „referer_url“ ist „network.http.referral_url“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	„timestamp“ wird „metadata.event_timestamp“ zugeordnet. client_ip ist principal.ip zugeordnet „client_port“ ist „principal.port“ zugeordnet „connection_id“ wird „network.session_id“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [Anfrage: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. „request_id“ wird „security_result.detection_fields.(key/value)“ zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „pid“ wird „target.process.parent_process.pid“ zugeordnet. „connection_id“ wird „network.session_id“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: Die Datei /usr/local/apache2/htdocs/favicon.ico existiert nicht	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	„timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. client_ip ist principal.ip zugeordnet client_port ist principal.port zugeordnet „pid“ wird „target.process.parent_process.pid“ zugeordnet. connection_id ist network.session_id zugeordnet. error_message wird security_result.description zugeordnet „file_path“ wird „target.file.full_path“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/access.log	10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 „http://192.0.2.1/test/first.html“ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)?	NETWORK_HTTP	client_ip ist principal.ip zugeordnet userid ist principal.user.userid zugeordnet host ist principal.hostname zugeordnet „timestamp“ wird „metadata.event_timestamp“ zugeordnet. wird network.http.method zugeordnet. resource wird principal.resource.name zugeordnet client_protocol wird network.application_protocol zugeordnet „result_status“ wird „network.http.response_code“ zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. „user_agent“ wird zu „network.http.user_agent“ zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. network.application_protocol ist auf „HTTP“ festgelegt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
var/log/apache2/other_vhosts_access.log	wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host ist target.hostname zugeordnet. target_port ist target.port zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „userid“ wird „principal.user.userid“ zugeordnet. host ist principal.hostname zugeordnet „timestamp“ wird „metadata.event_timestamp“ zugeordnet. wird network.http.method zugeordnet. resource wird principal.resource.name zugeordnet „result_status“ wird „network.http.response_code“ zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. „user_agent“ wird zu „network.http.user_agent“ zugeordnet. network.ip_protocol ist auf "TCP" festgelegt „network.direction“ ist auf „OUTBOUND“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt
/var/log/apache2/access.log	„http://192.0.2.1/test/first.html“ -> /altostrat.com	(<optional_field>{referer_url}?)->(<optional_field>{path}?)	GENERIC_EVENT	Pfad ist target.url zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. „network.direction“ ist auf „OUTBOUND“ festgelegt „target.platform“ ist auf „LINUX“ festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	(<optional_field>{user_agent})	GENERIC_EVENT	„user_agent“ wird zu „network.http.user_agent“ zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. „target.platform“ ist auf „LINUX“ festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
var/log/nginx/access.log	172.16.19.228 – admin [05/May/2022:11:53:27 +0530] "GET /icons/Ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36	{principal_ip} – (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	wird metadata.timestamp zugeordnet. IP-Adresse ist target.ip zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet principal_user_userid wird principal.user.userid zugeordnet metadata_timestamp wird dem Zeitstempel zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll ist network.application_protocol = (HTTP) zugeordnet. „response_code“ wird „network.http.response_code“ zugeordnet. „received_bytes“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. „user_agent“ wird zu „network.http.user_agent“ zugeordnet. „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf „TCP“ festgelegt network.direction ist auf „OUTBOUND“ festgelegt.
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\"	„{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}" inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" „bind() to ({target_ip}\|[{target_ip}]):{target_port} failed ({security_description})“ „\*{cid}{security_description}“, „{security_description}“	NETWORK_HTTP	Thread_id ist principal.process.pid zugeordnet. „severity“ wird auf „security_result.severity“ zugeordnet. (Fehlerbehebung ist UNKNOWN_SEVERITY zugeordnet, Informationen sind INFORMATIONAL zugeordnet, Hinweis ist LOW zugeordnet, Warnung ist MEDIUM zugeordnet, Fehler ist ERROR zugeordnet, Kriterium ist KRITISCH zugeordnet, Benachrichtigung ist HIGH zugeordnet) „target_file_full_path“ wird „target.file.full_path“ zugeordnet. „principal_ip“ ist „principal.ip“ zugeordnet „target_hostname“ wird „target.hostname“ zugeordnet. „http_method“ wird „network.http.method“ zugeordnet. „resource_name“ wird „principal.resource.name“ zugeordnet Protokoll "TCP" zugeordnet ist, target_ip ist target.ip zugeordnet „target_port“ ist „target.port“ zugeordnet. security_description + security_result_description_2 wird security_result.description zugeordnet „pid“ ist „principal.process.parent_process.pid“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt Der Zeitstempel wird %{year}/%{day}/%{month} %{time} zugeordnet. „target.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf „TCP“ festgelegt „network.direction“ ist auf „OUTBOUND“ festgelegt
var/log/rkhunter.log	[14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen	[<message_text>]{security_description}	STATUS_UPDATE	„time“ wird „metadata.timestamp“ zugeordnet. „securtiy_description“ ist „security_result.description“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
var/log/rkhunter.log	[14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ]	[<message_text>] {security_description} {file_path}[{metadata_description}]	FILE_UNCATEGORIZED	metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
var/log/rkhunter.log	ossec: Dateigröße verringert (Inode blieb): '/var/log/rkhunter.log'.	(<optional_field><message_text>:){metadata_description}:'{file_path}'	FILE_UNCATEGORIZED	„time“ wird „metadata.timestamp“ zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. file_path ist target.file.full_path zugeordnet. principal.platform ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
/var/log/kern.log	7. Juli 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5	{timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid}	NETWORK_CONNECTION	„timestamp“ wird „metadata.event_timestamp“ zugeordnet. „principal_hostname“ wird „principal.hostname“ zugeordnet „metadata_product_event_type“ wird „metadata.product_event_type“ zugeordnet. target_ip wird auf „target.ip“ zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet „target_user_userid“ wird „target.user.userid“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752	{timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid}	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet „metadata_description“ wird „metadata.description“ zugeordnet file_path wird „principal.process.file“ zugeordnet „pid“ wird „principal.process.pid“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	28.04.12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink.	{timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description}	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	28.April 11:17:01 localhost Kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2,20 GHz (Familie: 0x6, Modell: 0x55, Stepping: 0x7)	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet „principal_asset_hardware_cpu_model“ ist „principal.asset.hardware.cpu_model“ zugeordnet „metadata_description“ wird „metadata.description“ zugeordnet metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt "cpu_model" ist "principal.asset.hardware.cpu_model" zugeordnet
/var/log/syslog.log	29.01.2022 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179	{collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes}	NETWORK_CONNECTION	„collected_time“ wird „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. http_method ist network.http.method zugeordnet. „response_code“ wird „network.http.response_code“ zugeordnet. resource ist target.url zugeordnet target_ip ist target.ip zugeordnet "empfangene Bytes" ist "network.received_bytes" zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6	{collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. Nachricht wird metadata.description zugeordnet. „command_line“ wird „principal.process.command_line“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt target_ip ist target.ip zugeordnet
/var/log/syslog.log	Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6	{collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. description wird security_result.description zugeordnet Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/syslog.log	29. Jan. 13:51:46 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: FEHLER: Ungültiger Agent-Name zsecmgr0000-0719 (dupliziert)	{collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason})	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „description“ und „reason“ werden auf „security_result.description“ zugeordnet. „command_line“ wird „principal.process.command_line“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/syslog.log	2. Mai 06:25:01 localhost apachectl[64942]: AH00558: apache2: Der voll qualifizierte Domainname des Servers konnte nicht zuverlässig mit ::1 ermittelt werden. Legen Sie die Anweisung „ServerName“ global fest, um diese Meldung zu unterdrücken.	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	2. Mai 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7.205.015.552 Byte) wurden entfernt	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	3. Mai 10:14:37 localhost rsyslogd: Die User-ID von rsyslogd wurde in 102 geändert	{collected_timestamp}{hostname}{command_line}:{message}to{user_id}	STATUS_UPDATE	„collected_time“ wird „metadata.collected_timestamp“ zugeordnet Hostname wird principal.hostname zugeordnet Nachricht wird metadata.description zugeordnet. user_id ist principal.user.userid zugeordnet. Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/syslog.log	5. Mai 10:36:48 localhost systemd[1]: System Logging Service wird gestartet…	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet „pid“ ist „principal.process.pid“ zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt „command_line“ wird „principal.process.command_line“ zugeordnet.
/var/log/mail.log	Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1]	{timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV}	STATUS_UPDATE	„target_hostname“ wird „target.hostname“ zugeordnet. Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt.
/var/log/mail.log	7. Apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt.
/var/log/mail.log	7. Apr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01>	{timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}>	STATUS_UPDATE	„target_hostname“ wird „target.hostname“ zugeordnet. Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. „resource_name“ wird auf „target.resource.name“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt.
/var/log/mail.log	7. Apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (Warteschlange aktiv)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt.
/var/log/mail.log	7. April 13:44:01 Uhr prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	STATUS_UPDATE	„target_hostname“ wird „target.hostname“ zugeordnet. Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt.
/var/log/mail.log	7. Apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, rel=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (an Posteingang gesendet)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap: Der Zugriff auf den Konfigurationsschlüssel „[filterNames]“ über die Punktnotation ist veraltet und wird in einer zukünftigen Version entfernt. "config.getProperty(key, targetClass)" verwenden .	[{timestamp}]{severity}{summary}\-{security_description} , bei {command_line}${file_path}:<message_text>$	STATUS_UPDATE	„command_line“ ist „target.process.command_line“ zugeordnet. file_path ist „target.process.file.full_path“ zugeordnet. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „severity“ ist „security_result.severity“ zugeordnet. Zusammenfassung wird „security_result.summary“ zugeordnet security_description wird "security_result.description" zugeordnet metadata.product_name ist auf „OSSEC“ festgelegt metadata.vendor_name ist auf „OSSEC“ festgelegt.
/var/log/auth.log	27. April 21:03:03 Ubuntu18 systemd-logind[836]: Sitzung 3080 entfernt.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGOUT	„Zeitstempel“ wird „metadata.timestamp“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ zugeordnet. sonst „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ zugeordnet. sonst wird er "principal.application" zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. „network_session_id“ wird „network.session_id“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ verknüpft. Andernfalls wird „principal_user_userid“ mit „target.user.userid“ verknüpft. „principal.platform“ ist „LINUX“ zugeordnet if(removed_session) event_type ist auf USER_LOGOUT festgelegt extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	28.04.18 11:33:24 Ubuntu18 systemd-logind[836]: Neue Sitzung 3205 des Nutzers root.	{timestamp} {principal_hostname}{principal_application}(<optionales_Feld>[{pid}]):{security_description}{network_session_id}?(des Nutzers {principal_user_userid})?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ zugeordnet. sonst „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ zugeordnet. sonst wird er "principal.application" zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. „network_session_id“ wird „network.session_id“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ mit „principal.user.userid“ verknüpft. Andernfalls wird „principal_user_userid“ mit „target.user.userid“ verknüpft. „principal.platform“ ist „LINUX“ zugeordnet „network.application_protocol“ ist „SSH“ zugeordnet if(new_session) event_type ist auf USER_LOGIN festgelegt „extensions.auth.type“ ist auf „AUTHTYPE_UNSPECIFIED“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer)?{principal_user_userid} von {principal_ip} Port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ zugeordnet. sonst „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ zugeordnet. sonst wird er "principal.application" zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet sonst „target.user.userid“ zugeordnet. „principal_ip“ ist „principal.ip“ zugeordnet principal_port wird „principal.port“ zugeordnet security_result_detection_fields_ssh_kv ist „security_result.detection_fields.key/value“ zugeordnet security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root	{timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}\|{principal_user_userid})?)?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ zugeordnet. sonst „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ zugeordnet. sonst wird er "principal.application" zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. security_description wird "security_result.description" zugeordnet principal_user_uuserid ist „principal.user.attribute.labels“ zugeordnet „principal_user_attribute_labels_euid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal_ruser_userid“ ist „principal.user.attribute.labels.key/value“ zugeordnet target_ip ist „target.ip“ zugeordnet. Wenn „metadata.event_type“ den Wert USER_LOGOUT hat, wird „principal_user_userid“ „principal.user.userid“ zugeordnet sonst wird er "target.user.userid" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	24. Februar 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2}	STATUS_UPDATE	„timestamp“ wird „metadata.timestamp“ zugeordnet principal_hostname wird principal.hostname zugeordnet principal_application wird principal.application zugeordnet pid wird principal.process.pid zugeordnet. „principal_user_userid“ ist „target.user.userid“ zugeordnet. security_description wird "security_result.description" zugeordnet principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet principal_user_attribute_labels_uid_kv ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/auth.log	Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0)	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer\|Nutzer)?{principal_user_userid}(von (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGIN	Der Zeitstempel ist metadata.timestamp zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ zugeordnet. sonst „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ zugeordnet. sonst wird er "principal.application" zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet sonst „target.user.userid“ zugeordnet. principal_user_attribute_labels_uid_kv ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	26.04.07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Nutzer root geschlossen	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGOUT	Der Zeitstempel ist metadata.timestamp zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ zugeordnet. sonst „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ zugeordnet. sonst wird er "principal.application" zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „pid“ mit „target.process.pid“ verknüpft. Andernfalls wird „pid“ mit „principal.process.pid“ verknüpft. „security_description“ wird „security_result.description“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet sonst „target.user.userid“ zugeordnet. principal_user_attribute_labels_uid_kv wird principal.user.attribute.labels.key/value zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	24. Mai 12:56:31 ip-10-50-2-176 sshd[119931]: Zeitüberschreitung, Client reagiert nicht.	{timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description}	STATUS_UPDATE	„timestamp“ wird „metadata.timestamp“ zugeordnet principal_hostname wird principal.hostname zugeordnet principal_application wird principal.application zugeordnet pid wird principal.process.pid zugeordnet. security_result_description wird security_result_description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name ist auf OSSEC festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/log/samba/log.winbindd	[2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initial_winbindd_cache)initial_winbindd_cache: Cache leeren und mit Versionsnummer 2 neu erstellen	{timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	STATUS_UPDATE	„Zeitstempel“ wird „metadata.timestamp“ zugeordnet. Die Prozess-ID ist „principal.process.pid“ zugeordnet. „principal_user_attribute_labels_kv“ ist „principal.user.attribute.labels“ zugeordnet „principal_group_attribute_labels_kv“ ist „principal.group.attribute.labels“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet „principal_group_product_object_id“ ist „principal.group.product_object_id“ zugeordnet „security_description“ wird „security_result.description“ zugeordnet. metadata_description wird "metadata.description" zugeordnet. metadata.product_name ist auf „OSSEC“ festgelegt „metadata.vendor_name“ ist auf „OSSEC“ festgelegt
var/log/samba/log.winbindd	Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf Gerät	{user_id}: {desc}	STATUS_UPDATE	metadata.product_name ist auf „OSSEC“ festgelegt metadata.vendor_name" ist auf „OSSEC“ festgelegt „user_id“ wird „principal.user.userid“ zugeordnet. desc ist metadata.description zugeordnet.
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27 -> mohit_AUTOLOGIN/10.50.0.1:16245	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	„timestamp“ wird „metadata.timestamp“ zugeordnet log_level ist security_result.severity zugeordnet „local_ip“ ist principal.ip zugeordnet „target_ip“ ist „target.ip“ zugeordnet. target_hostname wird principal.hostname zugeordnet Port wird target.port zugeordnet. „user“ wird „principal.user.user_display_name“ zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt principal.platform ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Library-Versionen: OpenSSL 1.1.1, 11. September 2018, LZO 2.08	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. "msg" wird "security_result.description" zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt principal.platform ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") Die Nachricht wird mit <message_text>with[<message_text>]<message_text>:{port}<message_text> abgeglichen.	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „message“ wird „security_result.description“ zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name auf „OpenVPN Access Server“ festgelegt principal.platform ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)"	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'\|")<message_text>{user}\/{ip}:{message}(<optionales_Feld>'\|")	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. Nachricht wird security_result.description zugeordnet. user wird principal.user.user_display_name zugeordnet ip ist principal.ip zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt principal.platform ist auf „LINUX“ festgelegt
var/log/openvpnas.log		{timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. „log_level“ wird „security_result.severity“ zugeordnet. „message“ wird „security_result.description“ zugeordnet. summary ist security_result.summary zugeordnet user_name ist principal.user.user_display_name zugeordnet „cli“ ist „principal.process.command_line“ zugeordnet. „status“ wird auf „principal.user.user_authentication_status“ zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/audit.log	type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success'	type={audit_log_type}=audit((<optional_field>{metadata_ingested_timestamp}\|{metadata_ingested_timestamp})<message_text>:<message_text>):{audit_message}	EventType im Audit-Log für das aktuelle Tabellenblatt auf dem Tab „EventType-Zuordnung“	„audit_log_type“ ist „metadata.product_event_type“ zugeordnet metadata_ingested_timestamp ist "metadata.event_timestamp" zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.plateform“ ist auf „LINUX“ festgelegt Daten werden dem Schlüssel/Wert-Paar -> UDM-Zuordnung auf dem aktuellen Tabellenblatt-Tab „audit.log“
var/ossec/logs/ossec.log	12.05.2022 18:15:34 ossec-syscheckd: INFO: Syscheck-Scan wird gestartet	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}	STATUS_UPDATE	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.command.(<message_text>)):{command_line}	PROCESS_UNCATEGORIZED	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet Die Befehlszeile wird target.process.command_line zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:34:27 ossec-analysisd(1210): FEHLER: Warteschlange '/queue/alerts/ar' nicht zugänglich: "Verbindung verweigert"	{timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}'	USER_RESOURCE_ACCESS	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet „metadata_description“ wird „metadata.description“ zugeordnet. „resource“ ist „target.resource.name“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Datei wird analysiert: '/var/log/rundeck/rundeck.log'.	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}'	FILE_UNCATEGORIZED	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata_description ist metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl'	{timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}'	SCAN_PROCESS	„application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet file_path wird auf target.file.full_path zugeordnet. metadata.vendor_name ist auf OSSEC festgelegt metadata.product_name ist auf OSSEC festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:21 ossec-remoted(1410): INFO: Datei mit Authentifizierungsschlüsseln wird gelesen.	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}	STATUS_UPDATE	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:21 ossec-remoted(1103): FEHLER: Datei „/queue/rids/004“ konnte nicht geöffnet werden aufgrund von [(13)-(Berechtigung verweigert)].	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})]	FILE_UNCATEGORIZED	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. „metadata_description“ wird „metadata.description“ zugeordnet. „error_code“ wird „security_result.summary“ zugeordnet. „error_metadata_description“ wird auf „security_result.summary“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	23.03.2022 13:00:51 ossec-remoted(1206): FEHLER: Port „1514“ kann nicht verbunden werden	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}'	STATUS_UPDATE	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet „metadata_description“ wird „metadata.description“ zugeordnet. Port wird target.port zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:32:05 ossec-analysisd: INFO: Regeldatei wird gelesen: „ms-se_rules.xml“	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}'	FILE_READ	„application“ wird „target.application“ zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab'	{timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring\|Ignoring file)<message_text>:'{file_path}'	FILE_UNCATEGORIZED	Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. severity wird security_result.severity zugeordnet file_path wird auf target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
ntpd-Prozess	udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd	{protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name}	STATUS_UPDATE	wird network.ip_protocol zugeordnet. „pid“ ist „principal.process.pid“ zugeordnet. metadata.description ist auf Programmname festgelegt: %{process_name} metadata.vendor_name ist auf „OSSEC“ festgelegt metadata.product_name ist auf „OSSEC“ festgelegt principal.platform ist auf „LINUX“ festgelegt
syscheck	Datei „/usr/bin/fwts“ geändert	Datei „{file_path}“ {description}	FILE_MODIFICATION	description wird metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt

Audit

Audit-Log-Felder zu UDM-Feldern

In der folgenden Tabelle sind die Log-Felder des Typs „Audit-Log“ und die zugehörigen UDM-Felder aufgeführt.

Logfeld	UDM-Feld
Konto	target.user.user_display_name
addr	principal.ip
arch	about.labels.key/value
Auid	target.user.userid
cgroups	principal.process.file.full_path
CMD	target.process.command_line
comm	target.application
cwd	target.file.full_path
Daten	about.labels.key/value
devmajor	about.labels.key/value
devminor	about.labels.key/value
egid	target.group.product_object_id
euid	target.user.userid
exe	target.process.file.full_path
exit	target.labels.key/value
Familie	network.ip_protocol ist auf "IP6IN4" festgelegt wenn „ip_protocol“ == 2, andernfalls ist er auf "UNBEKANNTE_IP-PROTOKOLL"
filetype	target.file.mime_type
fsgid	target.group.product_object_id
fsuid	target.user.userid
gid	target.group.product_object_id
Hostname	target.hostname
icmptype	network.ip_protocol ist auf „ICMP“ festgelegt
id	Wenn [audit_log_type] == „ADD_USER“, wird „target.user.userid“ auf „%{id}“ gesetzt. Wenn [audit_log_type] == "ADD_GROUP", wird „target.group.product_object_id“ auf „%{id}“ festgelegt. else target.user.attribute.labels.key/value ist auf id festgelegt
Inode	target.resource.product_object_id
Schlüssel	security_result.detection_fields.key/value
list	security_result.about.labels.key/value
Modus	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
name	target.file.full_path
Neues Laufwerk	target.resource.name
New-Mem	target.resource.attribute.labels.key/value
new-vcpu	target.resource.attribute.labels.key/value
New-Netz	principal.mac
new_gid	target.group.product_object_id
oauid	target.user.userid
ocomm	target.process.command_line
opid	target.process.pid
OSS	network.session_id
Ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
Ogid	target.group.product_object_id
Ouid	target.user.userid
Pfad	target.file.full_path
Dauer	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
Proto	Wenn [ip_protocol] == 2, ist network.ip_protocol auf "IP6IN4" eingestellt. else network.ip_protocol ist auf "UNKNOWN_IP_PROTOCOL" festgelegt
res	security_result.summary
result	security_result.summary
saddr	security_result.detection_fields.key/value
sauid	target.user.attribute.labels.key/value
Ses	network.session_id
sgid	target.group.product_object_id
sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
Erfolgreich	Wenn „success=='yes'“, „securtiy_result.summary“ auf „Systemaufruf war erfolgreich“ festgelegt ist else „securtiy_result.summary“ ist auf „systemcall was failed“ gesetzt
Suid	target.user.userid
Systemaufruf	about.labels.key/value
Terminal	target.labels.key/value
tty	target.labels.key/value
uid	Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_id, DEL_USER_LOAD_POLICY] auf USER_USER_CMD, USER_CMD, USER_CMD Andernfalls wird die uid auf „target.user.userid“ gesetzt.
vm	target.resource.name

Audit-Log-Typen zu UDM-Ereignistyp

In der folgenden Tabelle sind die Audit-Log-Typen und die entsprechenden UDM-Ereignistypen aufgeführt.

Audit-Logtyp	UDM-Ereignistyp	Beschreibung
ADD_GROUP	GROUP_CREATION	Wird ausgelöst, wenn eine Gruppe im Nutzerbereich hinzugefügt wird.
ADD_USER	USER_CREATION	Wird ausgelöst, wenn ein Nutzerkonto für den Nutzerbereich hinzugefügt wird.
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	Wird ausgelöst, wenn ein Prozess abnormal beendet wird (mit einem Signal, das bei Aktivierung einen Core-Dump verursachen kann).
AVC	GENERIC_EVENT	Wird zum Aufzeichnen einer SELinux-Berechtigungsprüfung ausgelöst.
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn die Konfiguration des Audit-Systems geändert wird.
CRED_ACQ	USER_LOGIN	Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft.
CRED_DISP	USER_LOGOUT	Wird ausgelöst, wenn ein Nutzer Nutzerbereich-Anmeldedaten löscht.
CRED_REFR	USER_LOGIN	Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert.
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	Wird ausgelöst, um die kryptografische Schlüssel-ID zu erfassen, die für kryptografische Zwecke verwendet wird.
CRYPTO_SESSION	PROCESS_TERMINATION	Wird ausgelöst, um Parameter aufzuzeichnen, die während der Einrichtung einer TLS-Sitzung festgelegt wurden.
CWD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen.
DAEMON_ABORT	PROCESS_TERMINATION	Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird.
DAEMON_END	PROCESS_TERMINATION	Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde.
DAEMON_RESUME	PROCESS_UNCATEGORIZED	Wird ausgelöst, wenn der Auditd-Daemon das Logging fortsetzt.
DAEMON_ROTATE	PROCESS_UNCATEGORIZED	Wird ausgelöst, wenn der Auditd-Daemon die Audit-Logdateien rotiert.
DAEMON_START	PROCESS_LAUNCH	Wird ausgelöst, wenn der Auditd-Daemon gestartet wird.
DEL_GROUP	GROUP_DELETION	Wird ausgelöst, wenn eine Gruppe im Nutzerbereich gelöscht wird
Ausstehend	USER_DELETION	Wird ausgelöst, wenn ein Nutzer im Userspace gelöscht wird
EXECVE	PROCESS_LAUNCH	Wird ausgelöst, um Argumente des execve(2)-Systemaufrufs aufzuzeichnen.
MAC_CONFIG_CHANGE	GENERIC_EVENT	Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird.
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein IPSec-Ereignis erkannt wird oder sich die IPSec-Konfiguration ändert.
MAC_POLICY_LOAD	GENERIC_EVENT	Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird.
MAC_STATUS	GENERIC_EVENT	Wird ausgelöst, wenn der SELinux-Modus (erzwingen, erlauben, aus) geändert wird.
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, wenn ein statisches Label hinzugefügt wird, wenn die Paketlabelfunktionen des Kernels von NetLabel verwendet werden.
NETFILTER_CFG	GENERIC_EVENT	Wird ausgelöst, wenn Änderungen an Netfilter-Ketten erkannt werden.
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um Informationen zu einem Prozess aufzuzeichnen, an den ein Signal gesendet wird.
Pfad	FILE_OPEN/GENERIC_EVENT	Wird ausgelöst, um Informationen zum Pfad des Dateinamens aufzuzeichnen.
SELINUX_ERR	GENERIC_EVENT	Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird.
SERVICE_START	SERVICE_START	Wird ausgelöst, wenn ein Dienst gestartet wird.
SERVICE_STOP	SERVICE_STOP	Wird ausgelöst, wenn ein Dienst beendet wird
SYSCALL	GENERIC_EVENT	Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen.
SYSTEM_BOOT	STATUS_STARTUP	Wird ausgelöst, wenn das System hochgefahren wird.
SYSTEM_RUNLEVEL	STATUS_UPDATE	Wird ausgelöst, wenn sich der Runlevel des Systems ändert.
SYSTEM_SHUTDOWN	STATUS_SHUTDOWN	Wird ausgelöst, wenn das System heruntergefahren wird
USER_ACCT	SETTING_MODIFICATION	Wird ausgelöst, wenn ein Nutzerkonto im Userspace geändert wird.
USER_AUTH	USER_LOGIN	Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird.
USER_AVC	USER_UNCATEGORIZED	Wird ausgelöst, wenn eine AVC-Nachricht im Nutzerbereich generiert wird.
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn ein Attribut eines Nutzerkontos geändert wird.
USER_CMD	USER_COMMUNICATION	Wird ausgelöst, wenn ein Shell-Befehl im Userspace ausgeführt wird.
USER_END	USER_LOGOUT	Wird ausgelöst, wenn eine User-Bereich-Sitzung beendet wird.
USER_ERR	USER_UNCATEGORIZED	Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird.
USER_LOGIN	USER_LOGIN	Wird ausgelöst, wenn sich ein Nutzer anmeldet
USER_LOGOUT	USER_LOGOUT	Wird ausgelöst, wenn sich ein Nutzer abmeldet.
USER_MAC_POLICY_LOAD	RESOURCE_READ	Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt.
USER_MGMT	USER_UNCATEGORIZED	Wird zum Aufzeichnen von Daten zur Verwaltung von User-Spaces ausgelöst.
USER_ROLE_CHANGE	USER_CHANGE_PERMISSIONS	Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird.
USER_START	USER_LOGIN	Wird ausgelöst, wenn eine Nutzerbereichssitzung gestartet wird.
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn eine Änderung der Systemkonfiguration im Nutzerbereich erkannt wird.
VIRT_CONTROL	STATUS_UPDATE	Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird.
VIRT_MACHINE_ID	USER_RESOURCE_ACCESS	Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen.
VIRT_RESOURCE	USER_RESOURCE_ACCESS	Wird ausgelöst, um die Ressourcenzuweisung einer virtuellen Maschine aufzuzeichnen.

E-Mail

Logfelder an UDM-Felder senden

In der folgenden Tabelle sind die Protokollfelder des Typs „E-Mail-Protokoll“ und die entsprechenden UDM-Felder aufgeführt.

Logfeld	UDM-Feld
Klasse	about.labels.key/value
Ctladdr	principal.user.user_display_name
Von	network.email.from
MS-GID	network.email.mail_id
Proto	network.application_protocol
Relay	intermediary.hostname intermediary.ip
Größe	network.received_bytes
Statistik	security_result.summary
bis	network.email.to

E-Mail-Logtypen in UDM-Ereignistyp

In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.

E-Mail-Log-Typ	UDM-Ereignistyp
sendmail	GENERIC_EVENT
Abholung	EMAIL_UNCATEGORIZED
cleanup	GENERIC_EVENT
qmgr	EMAIL_UNCATEGORIZED
smtp	GENERIC_EVENT
lokal	EMAIL_UNCATEGORIZED

Nächste Schritte

Datenaufnahme in Google Security Operations