Recopila registros de la OSSEC
En este documento, se describe cómo puedes recopilar registros de OSSEC configurando OSSEC y un reenviador de Operaciones de seguridad de Google. En este documento, también se enumeran los tipos de registros admitidos y la versión de OSSEC compatible.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Descripción general
En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran los agentes y servidores de OSSEC para enviar registros a Google Security Operations. En cada implementación de cliente difieran de esta representación y podrían ser más complejas.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux: El sistema Linux que se supervisará El sistema Linux consta de los archivos que se supervisan y el agente de OSSEC.
Sistema Microsoft Windows. El sistema de Microsoft Windows que se supervisará en el que el agente de OSSEC esté instalado.
Agente de OSSEC. El agente de OSSEC recopila información del sistema Microsoft Windows o Linux y la reenvía al servidor de OSSEC.
Servidor de OSSEC. El servidor de OSSEC supervisa y recibe información de los agentes de OSSEC, analiza los registros y los reenvía al reenviador de Google Security Operations.
Redireccionamiento de Google Security Operations El reenviador de operaciones de seguridad de Google es un componente de software ligero que se implementa en la red del cliente y admite syslog. El reenviador de Google Security Operations reenvía los registros a Google Security Operations.
Google Security Operations. Google Security Operations retiene y analiza los registros de el servidor OSSEC.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador
por la etiqueta de transferencia OSSEC.
Antes de comenzar
Asegúrate de que el agente de OSSEC esté instalado en los sistemas Microsoft Windows o Linux que planeas supervisar. Para obtener más información sobre la instalación del agente de OSSEC, consulta Instalación de OSSEC.
Usa una versión de OSSEC que admita el analizador de Google Security Operations. El analizador de Google Security Operations es compatible con la versión 3.6.0 de OSSEC.
Asegúrate de que el servidor OSSEC esté instalado y configurado en el servidor central de Linux.
Verifica los tipos de registros que admite el analizador de Google Security Operations. En la siguiente tabla, se indican los productos y las rutas de acceso de los archivos de registro que admite el analizador de Google Security Operations:
Sistema operativo Producto Ruta del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux: Servidor de OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura el agente y el servidor de OSSEC, y el servidor de reenvío de Google Security Operations
Para configurar el agente y el servidor de OSSEC, y el reenviador de operaciones de seguridad de Google, haz lo siguiente:
Para supervisar los registros que generan los sistemas Linux, crea un archivo
ossec.confpara especificar la supervisión de registros actual del agente. A continuación, se muestra un ejemplo de archivo de configuración para el agente en el sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para supervisar los registros que generan los sistemas Microsoft Windows, crea un
ossec.conf. para especificar la configuración de supervisión de registros del agente. Aquí hay un ejemplo de configuración para el agente en el sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para reenviar los registros del servidor OSSEC a Google Security Operations mediante el protocolo syslog, Crea el archivo de configuración del servidor OSSEC
syslog.confen el siguiente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configura el servidor de reenvío de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Cómo instalar y configurar el reenviador en Linux. El siguiente es un ejemplo de una configuración del servidor de reenvío de Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referencia de la asignación de campos
En esta sección, se explica cómo el analizador de Google Security Operations aplica patrones de grok para los sistemas Linux y Microsoft Windows, y cómo asigna campos de registro de OSSEC a los campos del modelo de datos unificado (UDM) de Google Security Operations para cada tipo de registro.
Para obtener información sobre la asignación de referencia de campos comunes, consulta Campos comunes
Para obtener información de referencia sobre rutas de registro, patrones grok, por ejemplo, registros, tipos de eventos, y UDM en sistemas Linux, consulta las siguientes secciones:
- Linux
- Auditar
- Tipo de evento del registro de auditoría
- Correo electrónico
- Tipo de evento de registro de correo electrónico
Para obtener información sobre los eventos de Microsoft Windows compatibles y los campos de la AUA correspondientes, consulta Datos de eventos de Microsoft Windows.
Campos comunes
En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.
| Campo de registro común | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| aplicación | principal.application |
| log | metadata.description |
| ip | target.ip o principal.ip |
| Nombre de host | target.hostname o principal.hostname |
Sistema Linux
La siguiente tabla incluye las rutas de acceso para el sistema Linux, el patrón grok, por ejemplo, los registros tipo de evento y asignaciones UDM:
| Ruta de registro | Registro de ejemplo | Patrón de Grok | Tipo de evento | Asignación de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer la conexión | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid se asigna a target.process.pid. error_message se asignó a security_result.description network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". la marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asigna a security_result.description target.platform se establece en "LINUX". La URL de referencia se asignó a la red.http.referral_url |
| /var/log/apache2/error.log | [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [cliente {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?” | NETWORK_HTTP | la marca de tiempo se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description target_ip se asignó a target.ip. referer_url se asigna a network.http.referral_url network.application_protocol está configurado como "HTTP". El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". |
| /var/log/apache2/error.log | [Sábado 2 de febrero 00:30:55 2019] Nueva conexión: [conexión: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. client_ip se asigna a principal.ip client_port se asigna a principal.port connection_id se asignó a network.session_id network.application_protocol está configurado como "HTTP". El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. request_id se asigna a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip client_port se asigna a principal.port pid se asigna a target.process.parent_process.pid connection_id se asignó a network.session_id network.application_protocol está configurado como "HTTP". El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | la marca de tiempo se asigna a metadata.event_timestamp log_level se asignó a security_result.severity request_id se asignó a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip client_port se asigna a principal.port pid se asigna a target.process.parent_process.pid connection_id se asignó a network.session_id error_message se asignó a security_result.description file_path se asigna a target.file.full_path network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip se asigna a principal.ip userid se asignó a principal.user.userid host se asigna a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp. El método se asigna a network.http.method. resource se asigna a principal.resource.name client_protocol se asigna a network.application_protocol result_status se asignó a network.http.response_code object_size se asignó a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent network.ip_protocol está configurado como "TCP". network.direction se establece en "OUTBOUND" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host está asignado a target.hostname target_port se asigna a target.port client_ip se asigna a principal.ip userid se asignó a principal.user.userid host se asigna a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp. El método se asigna a network.http.method. el recurso se asignó a principal.resource.name result_status se asignó a network.http.response_code object_size se asignó a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent network.ip_protocol está configurado como "TCP". network.direction está configurado como "OUTBOUND" target.platform se establece en "LINUX". metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” network.application_protocol está configurado como "HTTP". |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | La ruta de acceso se asignó a target.url. referer_url se asigna a network.http.referral_url network.direction se establece en "OUTBOUND" El parámetro target.platform está configurado en "LINUX" network.application_protocol está configurado como "HTTP". El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent se asigna a network.http.user_agent network.direction se establece en "OUTBOUND" El parámetro target.platform está configurado en "LINUX" network.application_protocol está configurado como "HTTP". El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" metadata.product_name se establece en "Apache HTTP Server". |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 “http://192.0.2.1/” "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | el tiempo se asigna a metadata.timestamp ip se asignó a target.ip. principal_ip se asignó a principal.ip principal_user_userid se asigna a principal.user.userid metadata_timestamp se asigna a la marca de tiempo http_method se asigna a network.http.method resource_name se asigna a principal.resource.name El protocolo se asigna a network.application_protocol = (HTTP). response_code se asigna a network.http.response_code received_bytes se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent está asignado a network.http.user_agent El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en “NGINX”. metadata.product_name se establece en "NGINX". network.ip_protocol está configurado como “TCP” network.direction se establece en "OUTBOUND" |
| var/log/nginx/error.log | 29/01/2022 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" error (2: Sin tal archivo o directorio), cliente: 192.0.2.1, servidor: localhost, solicitud: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
Internal_message2 se asigna a “{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id se asignó a principal.process.pid severity se asigna a security_result.severity (la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, el aviso se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, la crítica se asigna a CRITICAL y la alerta se asigna a HIGH) target_file_full_path se asigna a target.file.full_path principal_ip se asigna a principal.ip target_hostname se asigna a target.hostname http_method se asigna a network.http.method resource_name se asignó a principal.resource.name el protocolo se asigna a “TCP” target_ip se asigna a target.ip target_port se asigna a target.port Se asignó security_description + security_result_description_2 a security_result.description. pid se asigna a principal.process.parent_process.pid network.application_protocol está configurado en “HTTP” la marca de tiempo se asignó a %{year}/%{day}/%{month} %{time} target.platform se establece en "LINUX". metadata.vendor_name se establece en “NGINX”. metadata.product_name se establece en "NGINX". network.ip_protocol está configurado como “TCP” network.direction se establece en "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] No se pudieron verificar los comandos necesarios | [<message_text>]{security_description} | STATUS_UPDATE | time se asigna a metadata.timestamp securtiy_description se asignó a security_result.description principal.platform se establece en "LINUX". metadata.vendor_name se establece en "RootKit Hunter". El valor "Metadata.product_name" se estableció en "RootKit Hunter". |
| var/log/rkhunter.log | [14:09:52] Se está verificando el archivo "/dev/.oz/.nap/rkit/terror" [No se encontró] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description file_path se asigna a target.file.full_path security_description se asigna a security_result.description principal.platform está configurado en "LINUX" metadata.vendor_name se establece en "RootKit Hunter". El valor "Metadata.product_name" se estableció en "RootKit Hunter". |
| var/log/rkhunter.log | ossec: Se redujo el tamaño del archivo (nodo permaneció): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | el tiempo se asigna a metadata.timestamp metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path principal.platform está configurado en "LINUX" metadata.vendor_name se establece en "RootKit Hunter". metadata.product_name se establece en "RootKit Hunter". |
| /var/log/kern.log | 7 jul 18:48:32 kernel zynvpnsvr: [2081387.006876] IPv4: fuente marciana 1.20.32.39 desde 192.0.2.1, en el dispositivo as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | La marca de tiempo se asigna a "metadata.event_timestamp". principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. target_ip se asignó a "target.ip". principal_ip se asigna a “principal.ip”. target_user_userid está asignado a "target.user.userid" metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" |
| /var/log/kern.log | Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | La marca de tiempo se asigna a "metadata.event_timestamp". principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. metadata_description se asigna a "metadata.description". file_path se asigna a "principal.process.file". pid se asigna a "principal.process.pid". metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" |
| /var/log/kern.log | 28/04 12:41:35 kernel de localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | La marca de tiempo se asigna a "metadata.event_timestamp". principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. metadata_description se asigna a "metadata.description" metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | La marca de tiempo se asigna a "metadata.event_timestamp". principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". principal_asset_hardware_cpu_model se asigna a “principal.asset.hardware.cpu_model” metadata_description se asigna a "metadata.description". metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" cpu_model se asigna a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 de enero 13:51:46 envt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. http_method se asigna a network.http.method response_code se asigna a network.http.response_code El recurso se asignó a target.url. target_ip se asignó a target.ip. recibido_bytes se asigna a network.received_bytes metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})de: {target_ip} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid log_level se asigna a security_result.severity message se asigna a metadata.description La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" target_ip se asignó a target.ip. |
| /var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Nueva conexión a partir de 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid log_level se asigna a security_result.severity description se asigna a security_result.description La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform se establece en "LINUX". |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid log_level se asignó a security_result.severity la descripción y el motivo se asignaron a security_result.description. La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform se establece en "LINUX". |
| /var/log/syslog.log | 2 de mayo 06:25:01 localhost apachectl[64942]: AH00558: apache2: No se pudo determinar de forma confiable el nombre de dominio completamente calificado del servidor con ::1. Configura el “Nombre del servidor” directiva global para suprimir este mensaje | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid message se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/syslog.log | 2 de mayo 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) cortado | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid message se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/syslog.log | 3 de mayo 10:14:37 localhost rsyslogd: el userid de rsyslogd cambió a 102. | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time se asigna a metadata.collected_timestamp el nombre de host se asignó a principal.hostname message se asigna a metadata.description user_id se asignó a principal.user.userid command_line se asigna a principal.process.command_line metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform se establece en "LINUX". |
| /var/log/syslog.log | May 5 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid message se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/mail.log | 16 de marzo 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G96AtwwMTH0localhost. | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application pid se asigna a target.process.pid metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abr. 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application pid se asigna a target.process.pid metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application pid se asigna a target.process.pid resource_name se asigna a target.resource.name metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abr. 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {aplicación}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application pid se asigna a target.process.pid metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is Unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application pid se asigna a target.process.pid metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, demora=0.01, retrasos=0/0.01/0/0, dsn=2.0.0, status=sent (enviado a buzón) | {timestamp} {target_hostname} {aplicación}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application pid se asigna a target.process.pid metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Cómo acceder a la clave de configuración '[filterNames]' a través de la notación de puntos dejó de estar disponible y se quitará en una versión futura. Usa “config.getProperty(key, targetClass)” en su lugar. | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | la línea de comandos está asignada a “target.process.command_line” file_path se asigna a "target.process.file.full_path". La marca de tiempo se asigna a "metadata.event_timestamp". severity se asigna a "security_result.severity". El resumen se asigna a "security_result.summary". security_description se asignó a "security_result.description" metadata.product_name se establece en "OSSEC". metadata.vendor_name se establece en “OSSEC”. |
| /var/log/auth.log | 27 abr 21:03:03 Ubuntu18 systemd-logind[836]: Se quitó la sesión 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid"; de lo contrario, se asigna a "principal.process.pid". security_description se asignó a "security_result.description" network_session_id está asignado a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". “principal.platform” está asignado a "LINUX" if(remove_session) event_type se estableció en USER_LOGOUT. extensions.auth.type se establece en AUTHTYPE_UNSPECIFIED. metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| /var/log/auth.log | 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: Nueva sesión 3205 de raíz del usuario | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | La marca de tiempo se asigna a "metadata.timestamp". Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid"; de lo contrario, se asigna a "principal.process.pid". security_description se asignó a "security_result.description" network_session_id está asignado a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". "principal.platform" está asignado a "LINUX". “network.application_protocol” está asignado a “SSH” Si (new_session), el valor de event_type se establece en USER_LOGIN. El parámetro extensions.auth.type está configurado como AUTHTYPE_UNSPECIFIED. metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| /var/log/auth.log | 28/04 11:35:31 Ubuntu18 sshd[23573]: Se aceptó la contraseña de root desde 10.0.1.1 puerto 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | La marca de tiempo se asigna a "metadata.timestamp". Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid"; de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description". Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid"; de lo contrario, se asigna a "target.user.userid". principal_ip se asigna a “principal.ip”. principal_port se asignó a "principal.port" security_result_detection_fields_ssh_kv se asigna a "security_result.detection_fields.key/value". security_result_detection_fields_kv se asigna a "security_result.detection_fields.key/value". "principal.platform" se establece en "LINUX". “network.application_protocol” esté configurado en "SSH" metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | La marca de tiempo se asigna a "metadata.timestamp". Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid"; de lo contrario, se asigna a "principal.process.pid". security_description se asignó a "security_result.description" principal_user_uuserid se asigna a “principal.user.attribute.labels”. principal_user_attribute_labels_euid_kv se asigna a “principal.user.attribute.labels.key/value”. principal_ruser_userid se asigna a "principal.user.attribute.labels.key/value". target_ip se asignó a "target.ip". Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". “principal.platform” esté configurado en "LINUX" “network.application_protocol” esté configurado en "SSH" metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| /var/log/auth.log | 24 de febrero 00:13:02 curso preciso32 sudo: tsg : usuario NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=raíz ; COMANDO=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp se asigna a metadata.timestamp principal_hostname se asignó a principal.hostname principal_application se asignó a principal.application El pid se asignó a principal.process.pid. principal_user_userid se asigna a target.user.userid security_description se asigna a "security_result.description". principal_process_command_line_1 se asignó a “principal.process.command_line” principal_process_command_line_2 se asignó a “principal.process.command_line” principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" se establece en "LINUX". |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión abierta para la raíz del usuario por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido|usuario)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid"; de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description". Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid"; de lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" se establece en "LINUX". “network.application_protocol” esté configurado en "SSH" metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión cerrada para la raíz del usuario | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido|usuario)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid"; de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description". Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value "principal.platform" se establece en "LINUX". metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
| /var/log/auth.log | 24 de mayo 12:56:31 ip-10-50-2-176 sshd[119931]: Se agotó el tiempo de espera, el cliente no responde. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp se asigna a metadata.timestamp principal_hostname se asignó a principal.hostname principal_application se asignó a principal.application El pid se asignó a principal.process.pid. security_result_description se asigna a security_result_description "principal.platform" se establece en "LINUX". metadata.vendor_name está configurado en OSSEC metadata.product_name se establece en OSSEC. |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: Se borra la caché y se vuelve a crear con el número de versión 2. | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | la marca de tiempo se asigna a “metadata.timestamp” pid se asigna a "principal.process.pid". principal_user_attribute_labels_kv se asigna a "principal.user.attribute.labels". principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels". principal_user_userid se asigna a "principal.user.userid" principal_group_product_object_id se asigna a "principal.group.product_object_id". security_description se asignó a "security_result.description" metadata_description se asigna a "metadata.description". metadata.product_name se establece en "OSSEC". "metadata.vendor_name" se establece en "OSSEC". |
| var/log/samba/log.winbindd | mensajería_dgm_init: error de vinculación: no queda espacio en el dispositivo | {user_id}: {desc} | STATUS_UPDATE | “metadata.product_name” está configurado como “OSSEC” metadata.vendor_name" está configurado como "OSSEC". user_id se asigna a principal.user.userid desc se asignó a metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|”) | NETWORK_HTTP | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity local_ip se asigna a principal.ip target_ip se asigna a target.ip target_hostname se asignó a principal.hostname el puerto está asignado a target.port user se asigna a principal.user.user_display_name metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
mensaje se asigna a <message_text>con[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity message se asigna a security_result.description metadata.vendor_name se establece en "OpenVPN". metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity message se asigna a security_result.description user se asigna a principal.user.user_display_name ip se asignó a principal.ip metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. El resumen se asignó a security_result.summary. user_name se asigna a principal.user.user_display_name la CLI se asignó a principal.process.command_line. status se asigna a principal.user.user_authentication_status metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform se establece en "LINUX". |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType en la pestaña de asignación de EventType del registro de auditoría de la hoja actual | audit_log_type se asigna a metadata.product_event_type metadata_ingested_timestamp se asigna a "metadata.event_timestamp". metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.plateform se establece en "LINUX" Los datos se asignan a un par clave-valor > Asignación de UDM en la pestaña audit.log de la hoja actual. |
| var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFO: Iniciando análisis de syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity command_line se asigna a target.process.command_line metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' no accesible: “Conexión rechazada”. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description El recurso se asignó a target.resource.name. metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application se asigna a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application se asigna a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asigna a target.file.full_path metadata.vendor_name está configurado en OSSEC metadata.product_name se establece en OSSEC. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Lee el archivo de claves de autenticación. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1103): ERROR: No se pudo abrir el archivo '/queue/rids/004'. debido a [(13)-(Permiso denegado)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application se asigna a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description error_code se asignó a security_result.summary error_metadata_description se asigna a security_result.summary metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERROR: No se puede vincular el puerto “1514” | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description el puerto está asignado a target.port metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application se asigna a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
| Proceso ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocol se asigna a network.ip_protocol pid se asigna a principal.process.pid metadata.description se establece en Nombre del programa: %{process_name}. metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". principal.platform se establece en "LINUX". |
| syscheck | Archivo '/usr/bin/fwts' modificados | Archivo “{file_path}” {description} | FILE_MODIFICATION | description se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name se establece en “OSSEC”. metadata.product_name se establece en "OSSEC". principal.platform se establece en "LINUX". |
Auditoría
Campos de registro de auditoría a campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus correspondientes campos de UDM.
| Campo de registro | Campo de UDM |
|---|---|
| cuenta | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| datos | about.labels.key/value |
| devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| familia | network.ip_protocol se establece en “IP6IN4” si “ip_protocol” == 2; de lo contrario, se establece en “UNKNOWN_IP_PROTOCOL”. |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Nombre de host | target.hostname |
| icmptype | network.ip_protocol está configurado como "ICMP". |
| id | Si [audit_log_type] == "ADD_USER", target.user.userid se establece en "%{id}".
Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id se establece en "%{id}". else target.user.attribute.labels.key/value está configurado como id |
| inodo | target.resource.product_object_id |
| clave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Standard | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| nueva-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| nueva-red | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| uuid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogida | target.group.product_object_id |
| ouid | target.user.userid |
| ruta | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| protocolo | Si [ip_protocol] == 2, network.ip_protocol se establece en “IP6IN4”.
else network.ip_protocol se establece en "UNKNOWN_IP_PROTOCOL" |
| resolución | security_result.summary |
| Resultado | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| Salu | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| correcto | Si success=='yes', securtiy_result.summary se establece en 'system call was successful'.
else securtiy_result.summary se estableció como “error de llamada al sistema” |
| suid | target.user.userid |
| llamada al sistema | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Si [audit_log_type] está en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, ADD_GROUP, DEL_USER, USER_CMD_user POLICY del usuario, USER_MAC_MAC es la principal].
else uid se establece en target.user.userid |
| vm | target.resource.name |
Tipos de registros de auditoría a tipo de evento de la AUA
En la siguiente tabla, se enumeran los tipos de registros de auditoría y sus correspondientes tipos de eventos de la AUA.
| Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Se activa cuando se agrega un grupo de espacio de usuario. |
| ADD_USER | USER_CREATION | Se activa cuando se agrega una cuenta de usuario al espacio de usuario. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anómala (con una señal que podría causar un volcado de memoria principal, si está habilitada). |
| AVC | GENERIC_EVENT | Se activa para registrar una verificación de permisos de SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
| CRED_ACQ | USER_LOGIN | Se activa cuando un usuario adquiere credenciales del espacio de usuario. |
| CRED_DISP | USER_LOGOUT | Se activa cuando un usuario borra las credenciales del espacio de usuario. |
| CRED_REFR | USER_LOGIN | Se activa cuando un usuario actualiza sus credenciales de espacio de usuario. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión de TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Se activa cuando se detiene un daemon debido a un error. |
| DAEMON_END | PROCESS_TERMINATION | Se activa cuando se detiene correctamente un daemon. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd reanuda el registro. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
| DAEMON_START | PROCESS_LAUNCH | Se activa cuando se inicia el daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Se activa cuando se borra un grupo de espacio de usuario. |
| Pendiente | USER_DELETION | Se activa cuando se borra un usuario del espacio de usuario. |
| EJECVE | PROCESS_LAUNCH | Se activa para registrar los argumentos de la llamada al sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano de SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec, cuando se detecta uno o cuando cambia la configuración de IPSec. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política de SELinux. |
| MAC_STATUS | GENERIC_EVENT | Se activa cuando se cambia el modo SELinux (de aplicación forzosa, permisivo, desactivado). |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se agrega una etiqueta estática cuando se usan las funciones de etiquetado de paquetes del kernel que proporciona NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan modificaciones de la cadena de Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía una señal. |
| PATH | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta de acceso del nombre de archivo. |
| SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
| SERVICE_START | SERVICE_START | Se activa cuando se inicia un servicio. |
| SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
| SISTEMA | GENERIC_EVENT | Se activa para registrar una llamada del sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Se activa cuando se cambia el nivel de ejecución del sistema. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
| USER_ACCT | SETTING_MODIFICATION | Se activa cuando se modifica una cuenta de usuario del espacio de usuario. |
| USER_AUTH | USER_LOGIN | Se activa cuando se detecta un intento de autenticación del espacio de usuario. |
| USER_AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje de AVC de espacio de usuario. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de cuenta de usuario. |
| USER_CMD | USER_COMMUNICATION | Se activa cuando se ejecuta un comando de shell del espacio de usuario. |
| USER_END | USER_LOGOUT | Se activa cuando finaliza una sesión en el espacio de usuario. |
| USER_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error de estado de la cuenta de usuario. |
| USER_LOGIN | USER_LOGIN | Se activa cuando un usuario accede a su cuenta. |
| USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario sale de su cuenta. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon de espacio de usuario carga una política de SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar datos de administración del espacio del usuario. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia el rol de SELinux de un usuario. |
| USER_START | USER_LOGIN | Se activa cuando se inicia una sesión en el espacio de usuario. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio de configuración del sistema en el espacio del usuario. |
| VIRT_CONTROL | STATUS_UPDATE | Se activa cuando se inicia, se pausa o se detiene una máquina virtual. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta a una máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Campos de registro de correo electrónico a campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo electrónico y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| Clase | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Desde | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Retransmisión | intermediary.hostname
intermediary.ip |
| Tamaño | network.received_bytes |
| Estadística | security_result.summary |
| a | network.email.to |
Tipos de registros de correo electrónico a tipo de evento de la AUA
En la siguiente tabla, se enumeran los tipos de registros de correo electrónico y sus correspondientes tipos de eventos de la AUA.
| Tipo de registro de correo electrónico | Tipo de evento de la AUA |
|---|---|
| sendmail | GENERIC_EVENT |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| local | EMAIL_UNCATEGORIZED |