Coletar registros de OSSEC

Compatível com:

Este documento descreve como coletar registros do OSSEC configurando o OSSEC e um forwarder de operações de segurança do Google. Este documento também lista os tipos de registro e a versão do OSSEC compatíveis.

Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google.

Visão geral

O diagrama de arquitetura de implantação a seguir mostra como os agentes e servidores do OSSEC são configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

  • Sistema Linux: O sistema Linux a ser monitorado. O sistema Linux consiste em os arquivos a serem monitorados e o agente OSSEC.

  • Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorado em que o agente OSSEC está instalado.

  • Agente OSSEC. O agente OSSEC coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o servidor OSSEC.

  • Servidor OSSEC. O servidor do OSSEC monitora e recebe informações dos agentes do OSSEC, analisa os registros e os encaminha para o encaminhador das Operações de segurança do Google.

  • Encaminhador de Operações de segurança do Google. O encaminhador de Operações de segurança do Google é um componente de software, implantado na rede do cliente, que suporta o syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.

  • Operações de segurança do Google. O Google Security Operations retém e analisa os registros do servidor OSSEC.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos ao formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão OSSEC.

Antes de começar

  • Verifique se o agente OSSEC está instalado nos sistemas Microsoft Windows ou Linux que que você planeja monitorar. Para mais informações sobre como instalar o agente do OSSEC, consulte Instalação do OSSEC.

  • Use uma versão do OSSEC compatível com o analisador das Operações de segurança do Google. As Operações de segurança do Google oferece suporte à versão 3.6.0 do OSSEC.

  • Verifique se o servidor OSSEC está instalado e configurado no servidor Linux central.

  • Verifique os tipos de registro compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e caminhos de arquivos de registro aceitos pelo analisador de Operações de Segurança do Google:

    Sistema operacional Produto Caminho do arquivo de registro
    Dispositivo Microsoft Windows Dispositivo Microsoft Windows Logs de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux Linux /var/log/ulog/syslogemu.log
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux: servidor OSSEC OSSEC /var/ossec/logs/ossec.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/rundeck.api.log
    Linux Rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log
  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

Configurar o agente e o servidor do OSSEC e o encaminhador de Operações de segurança do Google

Para configurar o agente e o servidor do OSSEC e o encaminhador de operações de segurança do Google, faça o seguinte:

  1. Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo ossec.conf para especificar o registro de monitoramento do agente. Este é um exemplo de arquivo de configuração para o agente no sistema Linux:

    <ossec_config>
    
    <!-- Files to monitor (localfiles) -->
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/ossec/logs/ossec.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/auth.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/kern.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/mail.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/syslog</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/error.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/access.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/other_vhost_access.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/nonvnc-server-access.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/nginx/access.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/nginx/error.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/openvpnas.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/rkhunter.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/rundeck/service.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/samba/log.winbindd</location>
    </localfile>
    
    <localfile>
     <log_format>command</log_format>
     <command>df -P</command>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/audit/audit.log</location>
    </localfile>
    
    <localfile>
     <log_format>full_command</log_format>
     <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
    </localfile>
    
    <localfile>
     <log_format>full_command</log_format>
     <command>last -n 5</command>
    </localfile>
    </ossec_config>
    
    
  2. Para monitorar os registros gerados pelos sistemas do Microsoft Windows, crie um arquivo ossec.conf para especificar a configuração de monitoramento de registros do agente. Aqui está um exemplo arquivo de configuração do agente no sistema Microsoft Windows:

    <ossec_config>
    <!-- Channels to monitor (localfiles) -->
    <localfile>
     <log_format>Security</log_format>
     <location>eventchannel</location>
    </localfile>
    
    <localfile>
     <log_format>System</log_format>
     <location>eventchannel</location>
    </localfile>
    
    <localfile>
     <log_format>Application</log_format>
     <location>eventchannel</location>
    </localfile>
    </ossec_config>
    
  3. Para encaminhar os registros do servidor OSSEC para o Google Security Operations usando o protocolo syslog, crie o arquivo de configuração do servidor OSSEC syslog.conf neste formato:

    .*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
    
  4. Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o forwarder no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:

      - syslog:
          common:
            enabled: true
            data_type: OSSEC
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10514
          connection_timeout_sec: 60
    

Referência do mapeamento de campo

Esta seção explica como o analisador de operações de segurança do Google aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia os campos de registro do OSSEC para os campos do modelo de dados unificado (UDM, na sigla em inglês) de operações de segurança do Google para cada tipo de registro.

Para informações sobre como mapear a referência de campos comuns, consulte Campos comuns.

Para informações de referência sobre caminhos de registro, padrões de grok para exemplos de registros, tipos de eventos e campos de UDM em sistemas Linux, consulte as seguintes seções:

Para informações sobre os eventos do Microsoft Windows com suporte e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows

Campos comuns

A tabela a seguir lista os campos de registro comuns e os campos correspondentes do UDM.

Campo de registro comum Campo de UDM
collected_time metadata.collected_timestamp
aplicativo principal.application
log metadata.description
ip target.ip ou principal.ip
nome do host target.hostname ou principal.hostname

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos de UDM:

Caminho do registro Exemplo de registro Padrão Grok Tipo de evento Mapeamento de UDM
/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] Falha na conexão [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

client_ip está mapeado para principal.ip.

client_port é mapeado para principal.port

error_message é associado a security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] Falha na conexão [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

error_message foi mapeado para security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(&lt;optional_field&gt;:tid{tid}|)](&lt;optional_field&gt; [client {client_ip}:{client_port}]|) (?&lt;error_message&gt;.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name.

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

client_ip está mapeado para principal.ip.

client_port é mapeado para principal.port

error_message foi mapeado para security_result.description

target.platform está definido como "LINUX"

referer_url é mapeado para network.http.referral_url

/var/log/apache2/error.log Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

O carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

O pid é mapeado para target.process.parent_process.pid

O tid é mapeado para target.process.pid

client_ip está mapeado para principal.ip.

client_port é mapeado para principal.port

error_message é associado a security_result.description

target_ip é associado a target.ip

referer_url está mapeado para network.http.referral_url

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sábado, 2 de fevereiro, 00:30:55 2019] Nova conexão: [conexão: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

client_ip está mapeado para principal.ip.

client_port está mapeado para principal.port

conexão_id está mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 de fev de 2019 00:30:55] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

request_id é mapeado para security_result.detection_fields.(chave/valor)

client_ip está mapeado para principal.ip.

client_port está mapeado para principal.port

O pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sábado, 2 de fevereiro 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00784] AH00128 Arquivo AH00128: arquivo AH00128 [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[cliente {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_level é mapeado para security_result.severity

request_id é mapeado para security_result.detection_fields.(chave/valor)

client_ip está mapeado para principal.ip.

client_port está mapeado para principal.port

O pid é mapeado para target.process.parent_process.pid

conexão_id está mapeado para network.session_id

error_message é associado a security_result.description

file_path está mapeado para target.file.full_path.

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" ({client_ip})?&lt;message_text&gt;{userid}[{timestamp}](&lt;optional_field&gt;{method}/(&lt;optional_field&gt;{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host está mapeado para principal.hostname

o carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

client_protocol é mapeado para network.application_protocol

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url está mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

target_host é mapeado para target.hostname

target_port é mapeado para target.port

client_ip está mapeado para principal.ip.

userid é mapeado para principal.user.userid

host está mapeado para principal.hostname

o carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

recurso mapeado para principal.resource.name

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url está mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

network.application_protocol está definido como "HTTP"

/var/log/apache2/access.log &quot;http://192.0.2.1/test/first.html&quot; -&gt; /altostrat.com (&lt;optional_field&gt;{referer_url}?)-&gt;(&lt;optional_field&gt;{path}?) GENERIC_EVENT

O caminho é mapeado para target.url

referer_url é mapeado para network.http.referral_url

network.direction está definido como "SAÍDA"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent é mapeado para network.http.user_agent

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/nginx/access.log 172.16.19.228 - admin [05/maio/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" {principal_ip}: (<campo opcional>{principal_user_id}?) [{timestamp}] {http_method} /(&lt;optional_field&gt;{resource_name}?|) {protocol}(&lt;message_text&gt;){response_code} {received_bytes}(&lt;optional_field&gt;{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

time é mapeado para metadata.timestamp

O IP é mapeado para target.ip.

principal_ip foi mapeado para principal.ip.

principal_user_userid é mapeado para principal.user.userid

metadata_timestamp é mapeado para carimbo de data/hora

http_method está mapeado para network.http.method.

resource_name foi mapeado para principal.resource.name

O protocolo é mapeado para network.application_protocol = (HTTP)

response_code é mapeado para network.http.response_code

received_bytes é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "NGINX"

"metadata.product_name" está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 é mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}? {protocol}/1.1&quot;,host:&quot;({target_ip}:{target_port})?&quot;

"bind() para ({target_ip}|[{target_ip}]):{target_port} falhou ({security_description})",

"\*{cid}{security_description}",

&quot;{security_description}&quot;

NETWORK_HTTP

thread_id mapeado para principal.process.pid

A gravidade é mapeada para security_result.severity

(debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH)

target_file_full_path está mapeado para target.file.full_path.

principal_ip foi mapeado para principal.ip.

target_hostname está mapeado para target.hostname

http_method está mapeado para network.http.method.

resource_name foi mapeado para principal.resource.name

o protocolo é mapeado para "TCP"

target_ip está mapeado para target.ip.

target_port está mapeado para target.port.

security_description + security_result_description_2 é mapeado para security_result.description

pid foi mapeado para principal.process.parent_process.pid

network.application_protocol está definido como "HTTP"

O carimbo de data/hora é mapeado para %{year}/%{day}/%{month} %{time}

target.platform está definida como "LINUX"

metadata.vendor_name está definido como "NGINX"

"metadata.product_name" está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "SAÍDA"

var/log/rkhunter.log [14:10:40] Falha na verificação de comandos obrigatórios [<message_text>]{security_description} STATUS_UPDATE

O horário é mapeado para metadata.timestamp

securtiy_description é mapeado para security_result.description

principal.platform está definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Verificando se o arquivo '/dev/.oz/.nap/rkit/terror' existe [não encontrado] [<message_text>] {security_description} {file_path}[{metadata_description}] FILE_UNCATEGORIZED

metadata_description é mapeado para metadata.description

file_path está mapeado para target.file.full_path.

security_description é mapeado para security_result.description

principal.platform está definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log ossec: tamanho do arquivo reduzido (inode permaneceu): '/var/log/rkhunter.log'. (&lt;optional_field&gt;&lt;message_text&gt;:){metadata_description}:&#39;{file_path}&#39; FILE_UNCATEGORIZED

time é mapeado para metadata.timestamp

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

principal.platform está definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

/var/log/kern.log Jul 7 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, em dev {target_user_userid} NETWORK_CONNECTION o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type está mapeado para "metadata.product_event_type"

target_ip é mapeado para "target.ip"

principal_ip é mapeado para "principal.ip"

target_user_userid é mapeado para "target.user.userid"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

/var/log/kern.log 25 de outubro 10:10:51 kernel do localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation=&quot;profile_load&quot; profile=&quot;unconfined&quot; name=&quot;/usr/bin/lxc-start&quot; pid=752 {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} STATUS_UPDATE o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type está mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

file_path é mapeado para "principal.process.file"

O pid é mapeado para "principal.process.pid".

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

/var/log/kern.log 28 de abril de 12:41:35 Kernel do localhost: [ 5079.912215] ctnetlink v0.93: registro com nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} STATUS_UPDATE o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type está mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

/var/log/kern.log 28 de abril 11:17:01 kernel do localhost: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU a 2,20 GHz (família: 0x6, modelo: 0x55, passo: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

cpu_model é mapeado para principal.asset.hardware.cpu_model

/var/log/syslog.log 29 de janeiro 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}&lt;message_text&gt;]REQUES{http_method}{response_code}(&lt;optional_field&gt;{resource}?)({target_ip}){received_bytes} NETWORK_CONNECTION

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

O pid é mapeado para principal.process.pid

http_method é mapeado para network.http.method

response_code é mapeado para network.http.response_code

recurso está mapeado para target.url

target_ip é associado a target.ip

received_bytes é mapeado para network.received_bytes

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Solicitação recebida de um novo agente (zsecmgr0000-0719) de: 3.4.5.6 {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} STATUS_UPDATE

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

pid foi mapeado para principal.process.pid

log_level é mapeado para security_result.severity

A mensagem é mapeada para metadata.description

A linha de comando é mapeada para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

target_ip está mapeado para target.ip.

/var/log/syslog.log 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: nova conexão de 3.4.5.6 {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} STATUS_UPDATE

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

pid foi mapeado para principal.process.pid

log_level é mapeado para security_result.severity

description é mapeado para security_result.description

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

/var/log/syslog.log 29 de janeiro 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: nome de agente inválido zsecmgr0000-0719 (duplicado) {collected_timestamp}&lt;message_text&gt;{command_line}[{pid}]:{date}&lt;message_text&gt;:{log_level}:{description}{hostname}({reason}) STATUS_UPDATE

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

pid foi mapeado para principal.process.pid

log_level é mapeado para security_result.severity

description + reason é mapeado para security_result.description

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

/var/log/syslog.log 2 de maio 06:25:01 localhost apachectl[64942]: AH00558: apache2: não foi possível determinar de forma confiável o nome de domínio totalmente qualificado do servidor usando ::1. Defina a diretiva "ServerName" globalmente para suprimir essa mensagem {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

pid foi mapeado para principal.process.pid

A mensagem é mapeada para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 2 de maio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 bytes) aparados {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

pid foi mapeado para principal.process.pid

A mensagem é mapeada para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 3 de maio 10:14:37 localhost rsyslogd: o userid de rsyslogd foi alterado para 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collections_time é mapeada para metadata.collected_timestamp

nome do host associado a principal.hostname

a mensagem é mapeada para metadata.description

user_id foi mapeado para principal.user.userid

A linha de comando é mapeada para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

/var/log/syslog.log May 5 10:36:48 localhost systemd[1]: Iniciando o serviço de registro do sistema... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collections_time é mapeada para metadata.event_timestamp

O nome do host é mapeado para principal.hostname

pid foi mapeado para principal.process.pid

A mensagem é mapeada para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

A linha de comando é mapeada para principal.process.command_line

/var/log/mail.log Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;:{KV} STATUS_UPDATE

target_hostname está mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} EMAIL_UNCATEGORIZED

target_hostname está mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt; message-id=&lt;{resource_name}&gt; STATUS_UPDATE

target_hostname está mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

resource_name é mapeado para target.resource.name

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (fila ativa) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname está mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/smtp[23436]: conecte-se a gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: A rede está inacessível {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} STATUS_UPDATE

target_hostname está mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abr. 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) {timestamp} {target_hostname} {application}[{pid}]: &lt;message_text&gt;{KV} EMAIL_UNCATEGORIZED

target_hostname está mapeado para target.hostname

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap: o acesso à chave de configuração "[filterNames]" pela notação de ponto foi descontinuado e será removido em uma versão futura. Usar 'config.getProperty(key, targetClass)' como alternativa. [{timestamp}]{severity}{summary}\-{security_description}

, em {command_line}\({file_path}:<message_text>\)

STATUS_UPDATE

command_line é mapeado para "target.process.command_line"

file_path é mapeado para "target.process.file.full_path"

O carimbo de data/hora é mapeado para "metadata.event_timestamp"

A gravidade é mapeada para "security_result.severity".

summary é mapeado para "security_result.summary"

security_description é mapeado para "security_result.description"

metadata.product_name está definido como "OSSEC"

metadata.vendor_name está definido como "OSSEC"

/var/log/auth.log 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: sessão 3080 removida. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(do usuário{principal_user_userid})? USER_LOGOUT

o carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname" caso contrário, ele será mapeado para "principal.hostname".

Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application".

Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid" caso contrário, será mapeado para "principal.process.pid".

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid" caso contrário, será mapeado para "target.user.userid".

"principal.platform" está mapeado para "LINUX"

if(Remove_session) event_type for USER_LOGOUT

extensões.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: nova sessão 3205 da raiz do usuário. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(do usuário{principal_user_userid})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname" caso contrário, ele será mapeado para "principal.hostname".

Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application".

Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid" caso contrário, será mapeado para "principal.process.pid".

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid" caso contrário, será mapeado para "target.user.userid".

"principal.platform" está mapeado para "LINUX"

"network.application_protocol" é mapeado para "SSH"

if(new_session) event_type é definido como USER_LOGIN

extensões.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 28 de abril de 11:35:31 Ubuntu18 sshd[23573]: senha aceita para raiz de 10.0.1.1 porta 40503 ssh2 {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt; {security_description} para (usuário inválido)?{principal_user_userid} na porta {principal_ip} da porta {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname" caso contrário, ele será mapeado para "principal.hostname".

Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application".

Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid" caso contrário, será mapeado para "principal.process.pid".

security_description é mapeado para "security_result.description"

Se metadata.event_type for USER_LOGOUT, principal_user_userid será mapeado para "principal.user.userid". Caso contrário, será mapeado para "target.user.userid".

principal_ip é mapeado para "principal.ip".

principal_port é mapeado para "principal.port"

security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value"

security_result_detection_fields_kv é mapeada para "security_result.detection_fields.key/value"

"principal.platform" está definido como "LINUX"

&quot;network.application_protocol&quot; está definido como "SSH"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 28 de abril de 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): falha de autenticação; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname" caso contrário, ele será mapeado para "principal.hostname".

Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application".

Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid" caso contrário, será mapeado para "principal.process.pid".

security_description é mapeado para "security_result.description"

principal_user_uuserid é mapeado para "principal.user.attribute.labels"

principal_user_attribute_labels_euid_kv é mapeado para "principal.user.attribute.labels.key/value"

principal_ruser_userid é mapeado para "principal.user.attribute.labels.key/value"

target_ip é mapeado para "target.ip"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid" caso contrário, será mapeado para "target.user.userid"

"principal.platform" está definido como "LINUX"

&quot;network.application_protocol&quot; está definido como "SSH"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 24 de fev 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} STATUS_UPDATE

O carimbo de data/hora é associado a metadata.timestamp

principal_hostname foi mapeado para principal.hostname

principal_application é mapeado para principal.application

pid foi mapeado para principal.process.pid

principal_user_userid é mapeado para target.user.userid

security_description é mapeado para "security_result.description"

principal_process_command_line_1 é mapeado para "principal.process.command_line"

principal_process_command_line_2 é mapeado para "principal.process.command_line"

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

/var/log/auth.log 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão aberta para a raiz do usuário por (uid=0) {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt; {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

O carimbo de data/hora é associado a metadata.timestamp

Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname" caso contrário, ele será mapeado para "principal.hostname".

Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application".

Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid" caso contrário, será mapeado para "principal.process.pid".

security_description é mapeado para "security_result.description"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid" caso contrário, será mapeado para "target.user.userid".

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

&quot;network.application_protocol&quot; está definido como "SSH"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 26 de abril de 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão fechada para o usuário raiz {timestamp} {principal_hostname}{principal_application}(&lt;optional_field&gt;[{pid}])&lt;optional_field&gt; {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGOUT

o carimbo de data/hora é mapeado para metadata.timestamp

Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname" caso contrário, ele será mapeado para "principal.hostname".

Se metadata.event_type for USER_LOGOUT, principal_application será mapeado para "target.application". Caso contrário, ele será mapeado para "principal.application".

Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid" caso contrário, será mapeado para "principal.process.pid".

security_description é mapeado para "security_result.description"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid" caso contrário, será mapeado para "target.user.userid".

principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 24 de maio 12:56:31 ip-10-50-2-176 sshd[119931]: tempo limite, o cliente não está respondendo. {timestamp} {principal_hostname}{principal_application}([{pid}])&lt;optional_field&gt; {security_result_description} STATUS_UPDATE

O carimbo de data/hora é associado a metadata.timestamp

principal_hostname foi mapeado para principal.hostname

principal_application é mapeado para principal.application

pid foi mapeado para principal.process.pid

security_result_description está mapeado para security_result_description

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como OSSEC

metadata.product_name está definido como OSSEC

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: limpeza do cache e recriação com o número da versão 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} STATUS_UPDATE

O carimbo de data/hora é mapeado para "metadata.timestamp"

O pid é mapeado para "principal.process.pid".

principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels"

principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels"

principal_user_userid é mapeado para "principal.user.userid"

principal_group_product_object_id é mapeado para "principal.group.product_object_id"

security_description é mapeado para "security_result.description"

metadata_description é mapeado para "metadata.description"

metadata.product_name está definido como "OSSEC"

"metadata.vendor_name" está definido como "OSSEC"

var/log/samba/log.winbindd Messaging_dgm_init: falha na vinculação: não há espaço disponível no dispositivo {user_id}: {desc} STATUS_UPDATE

metadata.product_name está definido como "OSSEC"

metadata.vendor_name&quot; está definido como "OSSEC"

user_id é mapeado para principal.user.userid

desc é mapeado para metadata.description

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Aprenda: 172.27.2 mohit_AUTOLOGIN/10.50.0.1:16245' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

local_ip foi mapeado para principal.ip.

target_ip é associado a target.ip

target_hostname é mapeado para principal.hostname

a porta está mapeada para target.port.

usuário foi mapeado para principal.user.user_display_name

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform está definido como "LINUX"

var/log/openvpnas.log 28-04-2022T16:14:13+0530 [stdout#info] [OVPN 6] SAÍDA: '2022-04-28 16:14:13 versões da biblioteca: OpenSSL 1.1.1 11 de setembro de 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") STATUS_UPDATE

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

msg é mapeada para security_result.description

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform está definido como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] [OVPN 4] OUT:5.NET.NET20} {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

A mensagem é mapeada para <message_text>with[<message_text>]<message_text>:{port}<message_text>

STATUS_UPDATE

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

mensagem é mapeada para security_result.description

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform está definido como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") STATUS_UPDATE

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

A mensagem é mapeada para security_result.description

O usuário é mapeado para principal.user.user_display_name

O IP é mapeado para principal.ip

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform está definido como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {&#39;status&#39;: 0, &#39;user&#39;: &#39;mohit&#39;, &#39;reason&#39;: &#39;AuthAutoLogin: autologin certificate auth succeeded&#39;, &#39;proplist&#39;: {&#39;prop_autogenerate&#39;: &#39;true&#39;, &#39;prop_autologin&#39;: &#39;true&#39;, &#39;pvt_password_digest&#39;: &#39;[redacted]&#39;, &#39;type&#39;: &#39;user_connect&#39;}, &#39;common_name&#39;: &#39;mohit_AUTOLOGIN&#39;, &#39;serial&#39;: &#39;3&#39;, &#39;serial_list&#39;: []} cli=&#39;win&#39;/&#39;3.git::d3f8b18b&#39;/&#39;OCWindows_3.3.6-2752&#39; {timestamp}[stdout#{log_level}]{summary}{&#39;&lt;message_text&gt;&#39;:({status})?&#39;&lt;message_text&gt;&#39;:({user})?&#39;&lt;message_text&gt;&#39;:({reason})?&lt;message_text&gt;}, &#39;common_name&#39;:&#39;{user_name}&#39;&lt;message_text&gt;}cli=&#39;{cli}&#39; STATUS_UPDATE

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

mensagem é mapeada para security_result.description

summary é mapeado para security_result.summary

user_name foi mapeado para principal.user.user_display_name

A CLI é mapeada para principal.process.command_line

O status é mapeado para principal.user.user_authentication_status

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform está definido como "LINUX"

/var/log/audit.log type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe=&quot;/lib/systemd/systemd-update-utmp&quot; nome do host=? addr=? terminal=? res=sucesso type={audit_log_type}=audit((&lt;optional_field&gt;{metadata_ingested_timestamp}|{metadata_ingested_timestamp})&lt;message_text&gt;:&lt;message_text&gt;):{audit_message} EventType na planilha atual, guia "Mapeamento de EventType" do registro de auditoria audit_log_type está mapeado para metadata.product_event_type

metadata_ingested_timestamp é mapeado para "metadata.event_timestamp"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.plateform está definido como "LINUX"

os dados são mapeados para par de valor-chave-> Mapeamento de UDM na guia audit.log da planilha atual

var/ossec/logs/ossec.log 2022/05/12 18:15:34 ossec-syscheckd: INFO: Iniciando a verificação do syscheck {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_UPDATE

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

gravidade é mapeada para security_result.severity

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitorando a saída completa do comando (360): last -n 5 {timestamp} {application}(({pid}))&lt;optional_field&gt;{severity}:(?&lt;metadata_description&gt;.*command.*(&lt;message_text&gt;)):{command_line} PROCESS_UNCATEGORIZED

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

gravidade é mapeada para security_result.severity

A linha de comando é mapeada para target.process.command_line

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Fila '/queue/alerts/ar' inacessível: "Conexão recusada". {timestamp} {application}(({pid}))<optional_field>{severity}: fila '{resource}'<message_text>:'{metadata_description}' USER_RESOURCE_ACCESS

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

gravidade é mapeada para security_result.severity

metadata_description é mapeado para metadata.description

O recurso é mapeado para target.resource.name

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analysis file: '/var/log/rundeck/rundeck.log'. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' FILE_UNCATEGORIZED

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

A gravidade é mapeada para security_result.severity

file_path está mapeado para target.file.full_path.

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 11/05/2022 19:34:25 ossec-syscheckd: INFO: ignorando: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' {timestamp} {application}(({pid}))&lt;optional_field&gt;{severity}:&lt;message_text&gt;ignoring&lt;message_text&gt;:&#39;{file_path}&#39; SCAN_PROCESS

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

A gravidade é mapeada para security_result.severity

file_path é mapeado para target.file.full_path

metadata.vendor_name está definido como OSSEC

metadata.product_name está definido como OSSEC

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_UPDATE

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

gravidade é mapeada para security_result.severity

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1103): ERRO: não foi possível abrir o arquivo '/queue/rids/004' devido a [(13)-(Permissão negada)]. {timestamp} {application}(({pid}))&lt;optional_field&gt;{severity}:(?&lt;metadata_description&gt;&lt;message_text&gt;file&lt;message_text&gt;) &#39;{file_path}&#39;&lt;message_text&gt;[({error_code})-({error_metadata_description})] FILE_UNCATEGORIZED

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

A gravidade é mapeada para security_result.severity

file_path está mapeado para target.file.full_path.

metadata_description é mapeado para metadata.description

error_code é mapeado para security_result.summary

error_metadata_description é mapeado para security_result.summary

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/03/23 13:00:51 ossec-remoted(1206): ERRO: não foi possível vincular a porta "1514" {timestamp} {application}(({pid}))&lt;optional_field&gt;{severity}:{metadata_description}port&#39;{port}&#39; STATUS_UPDATE

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

gravidade é mapeada para security_result.severity

metadata_description é mapeado para metadata.description

a porta está mapeada para target.port.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:32:05 ossec-analysisd: INFO: Leitura do arquivo de regras: 'ms-se_rules.xml' {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' FILE_READ

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

gravidade é mapeada para security_result.severity

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 11/05/2022 19:32:06 ossec-analysisd: INFO: ignorando o arquivo: '/etc/mnttab' {timestamp} {application}(({pid})<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' FILE_UNCATEGORIZED

O aplicativo é mapeado para target.application

pid é mapeado para target.process.pid

A gravidade é mapeada para security_result.severity

file_path está mapeado para target.file.full_path.

metadata.vendor_name está definido como "OSSEC"

"metadata.product_name" está definido como "OSSEC"

processo ntpd udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} STATUS_UPDATE

é mapeado para network.ip_protocol

O pid é mapeado para principal.process.pid

metadata.description está definido como o Nome do programa: %{process_name}

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

syscheck O arquivo '/usr/bin/fwts' foi modificado. Arquivo "{file_path}" {description} FILE_MODIFICATION

description é mapeado para metadata.description

file_path está mapeado para target.file.full_path.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform está definido como "LINUX"

Auditoria

Campos de registro de auditoria para campos de UDM

A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos correspondentes do UDM.

Campo de registro Campo de UDM
conta target.user.user_display_name
addr principal.ip
arch about.labels.key/value
Auid target.user.userid
grupo de discussão principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
dados about.labels.key/value
Devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
família network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, ele é definido como "UNKNOWN_IP_PROTOCOL".
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
nome do host target.hostname
icmptype network.ip_protocol está definido como "ICMP"
id Se [audit_log_type] == "ADD_USER", target.user.userid será definido como "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}"

caso contrário, target.user.attribute.labels.key/value será definido como ID

inode target.resource.product_object_id
chave security_result.detection_fields.key/value
list security_result.about.labels.key/value
modo target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

name target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
Ocomm target.process.command_line
opid target.process.pid
Oses network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogida target.group.product_object_id
ouid target.user.userid
path target.file.full_path
permanente target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4"

Caso contrário, network.ip_protocol é definido como "UNKNOWN_IP_PROTOCOL".

RES security_result.summary
result security_result.summary
saddr security_result.detection_fields.key/value
Sauid target.user.attribute.labels.key/value
se network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
sucesso Se Success=='yes', securtiy_result.summary será definido como 'chamada do sistema foi bem-sucedida'

caso contrário, securtiy_result.summary está definido como "systemcall was failed"

Sui target.user.userid
syscall about.labels.key/value
terminal target.labels.key/value
tty target.labels.key/value
uid Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] o uid é definido como principal.user.userid

Caso contrário, o uid é definido como target.user.userid

vm target.resource.name

Tipos de registro de auditoria para tipo de evento de UDM

A tabela a seguir lista os tipos de registro de auditoria e os tipos de evento do UDM correspondentes.

Tipo de registro de auditoria Tipo de evento de UDM Descrição
ADD_GROUP GROUP_CREATION Acionado quando um grupo de espaço do usuário é adicionado.
ADD_USER USER_CREATION Acionado quando uma conta de usuário no espaço do usuário é adicionada.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Acionado quando um processo é encerrado de forma anormal (com um sinal que pode causar um dump de núcleo, se ativado).
AVC GENERIC_EVENT Acionado para registrar uma verificação de permissão do SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Acionado quando a configuração do sistema de auditoria é modificada.
CRED_ACQ USER_LOGIN Acionado quando um usuário adquire as credenciais do espaço do usuário.
CRED_DISP USER_LOGOUT Acionado quando um usuário descarta as credenciais do espaço do usuário.
CRED_REFR USER_LOGIN Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Acionado para registrar o identificador da chave criptográfica usado para fins criptográficos.
CRYPTO_SESSION PROCESS_TERMINATION Acionado para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT PROCESS_TERMINATION Acionada quando um daemon é interrompido devido a um erro.
DAEMON_END PROCESS_TERMINATION Acionado quando um daemon é interrompido.
DAEMON_RESUME PROCESS_UNCATEGORIZED Acionado quando o daemon auditd retoma a geração de registros.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Acionado quando o daemon auditd faz a rotação dos arquivos de registro de auditoria.
DAEMON_START PROCESS_LAUNCH Acionado quando o daemon auditd é iniciado.
DEL_GROUP GROUP_DELETION Acionado quando um grupo de espaço do usuário é excluído
Pendente USER_DELETION Acionado quando um usuário no espaço do usuário é excluído
EXECVE PROCESS_LAUNCH Acionado para registrar argumentos da chamada de sistema "execve(2)".
MAC_CONFIG_CHANGE GENERIC_EVENT Acionado quando um valor booleano SELinux é alterado.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um evento IPSec quando um é detectado ou quando a configuração do IPSec muda.
MAC_POLICY_LOAD GENERIC_EVENT Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS GENERIC_EVENT Acionado quando o modo SELinux (aplicador, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecidos pelo NetLabel.
NETFILTER_CFG GENERIC_EVENT Acionado quando modificações da cadeia Netfilter são detectadas.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um processo para o qual um sinal é enviado.
CAMINHO FILE_OPEN/GENERIC_EVENT Acionado para gravar informações do caminho do nome de arquivo.
SELINUX_ERR GENERIC_EVENT Acionada quando um erro interno do SELinux é detectado.
SERVICE_START SERVICE_START Acionado quando um serviço é iniciado.
SERVICE_STOP SERVICE_STOP Acionado quando um serviço é interrompido.
SYSCALL GENERIC_EVENT Acionada para registrar uma chamada de sistema para o kernel.
SYSTEM_BOOT STATUS_STARTUP Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL STATUS_UPDATE Acionado quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Acionado quando o sistema é desligado.
USER_ACCT SETTING_MODIFICATION Acionado quando uma conta de usuário no espaço do usuário é modificada.
USER_AUTH USER_LOGIN Acionado quando uma tentativa de autenticação no espaço do usuário é detectada.
USER_AVC USER_UNCATEGORIZED Acionado quando uma mensagem AVC do espaço do usuário é gerada.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Acionado quando um atributo da conta de usuário é modificado.
USER_CMD USER_COMMUNICATION Acionado quando um comando de shell no espaço do usuário é executado.
USER_END USER_LOGOUT Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR USER_UNCATEGORIZED Acionado quando um erro de estado da conta de usuário é detectado.
USER_LOGIN USER_LOGIN Acionado quando um usuário faz login.
USER_LOGOUT USER_LOGOUT Acionado quando um usuário sai da conta.
USER_MAC_POLICY_LOAD RESOURCE_READ Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT USER_UNCATEGORIZED Acionado para registrar dados de gerenciamento do espaço do usuário.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Acionado quando o papel SELinux de um usuário é alterado.
USER_START USER_LOGIN Acionado quando uma sessão no espaço do usuário é iniciada.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Acionado quando uma mudança na configuração do sistema do espaço do usuário é detectada.
VIRT_CONTROL STATUS_UPDATE Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Acionado para registrar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Acionado para registrar a atribuição de recursos de uma máquina virtual.

E-mail

Enviar campos de registro de e-mail para campos de UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos correspondentes do UDM.

Campo de registro Campo de UDM
Turma about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
Conexão relay intermediary.hostname

intermediary.ip

Tamanho network.received_bytes
Estatística security_result.summary
a network.email.to

Tipos de registro de e-mail para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento de UDM correspondentes.

Tipo de registro de e-mail Tipo de evento de UDM
sendmail GENERIC_EVENT
pickup EMAIL_UNCATEGORIZED
cleanup GENERIC_EVENT
qmgr EMAIL_UNCATEGORIZED
smtp GENERIC_EVENT
Local EMAIL_UNCATEGORIZED

A seguir