OSSEC-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie OSSEC-Logs durch Konfiguration von OSSEC und einem Chronicle-Forwarder erfassen. In diesem Dokument werden auch die unterstützten Logtypen und die unterstützte OSSEC-Version aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Chronicle.
Übersicht
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie OSSEC-Agents und -Server für das Senden von Logs an Chronicle konfiguriert sind. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und kann komplexer sein.
Das Architekturdiagramm enthält die folgenden Komponenten:
Linux-System: Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem OSSEC-Agent.
Microsoft Windows-System: Das zu überwachende Microsoft Windows-System, in dem der OSSEC-Agent installiert ist.
OSSEC-Agent. Der OSSEC-Agent erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet die Informationen an den OSSEC-Server weiter.
OSSEC-Server. Der OSSEC-Server überwacht und empfängt Informationen von den OSSEC-Agents. Analysiert die Logs und leitet sie an den Chronicle-Forwarder weiter.
Chronicle-Forwarder Der Chronicle-Forwarder ist eine schlanke Softwarekomponente, die im System des Kunden bereitgestellt wird und Syslog unterstützt. Der Chronicle-Forwarder leitet die Logs an Chronicle weiter.
Chronicle Chronicle speichert und analysiert die Logs vom OSSEC-Server.
Ein Datenaufnahme-Label identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel OSSEC.
Hinweis
Achten Sie darauf, dass der OSSEC-Agent auf den Microsoft Windows- oder Linux-Systemen installiert ist, die Sie überwachen möchten. Weitere Informationen zum Installieren des OSSEC-Agents finden Sie unter OSSEC-Installation.
Verwenden Sie eine OSSEC-Version, die der Chronicle-Parser unterstützt. Der Chronicle-Parser unterstützt OSSEC Version 3.6.0.
Achten Sie darauf, dass der OSSEC-Server auf dem zentralen Linux-Server installiert und konfiguriert ist.
Prüfen Sie die vom Chronicle-Parser unterstützten Logtypen. In der folgenden Tabelle sind die vom Chronicle-Parser unterstützten Produkte und Protokolldateipfade aufgeführt:
Betriebssystem Produkt Pfad der Protokolldatei Microsoft Windows Microsoft Windows Ereignisprotokolle Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux – OSSEC-Server Logo: OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
OSSEC-Agent und -Server und Chronicle-Forwarder konfigurieren
So konfigurieren Sie den OSSEC-Agent und -Server und den Chronicle-Forwarder:
Erstellen Sie zum Beobachten der von den Linux-Systemen generierten Logs eine
ossec.conf-Datei, um die Konfiguration des Logmonitorings für den Agent anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Linux-System:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Erstellen Sie zum Beobachten der von den Microsoft Windows-Systemen generierten Logs eine
ossec.conf-Datei, um die Konfiguration des Logmonitorings für den Agent anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Microsoft Windows-System:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Um die Logs vom OSSEC-Server mithilfe des Syslog-Protokolls an Chronicle weiterzuleiten, erstellen Sie die OSSEC-Serverkonfigurationsdatei
syslog.confim folgenden Format:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Chronicle-Forwarder so konfigurieren, dass Logs an Chronicle gesendet werden. Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Chronicle-Forwarder-Konfiguration:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referenz für die Feldzuordnung
In diesem Abschnitt wird erläutert, wie der Chronicle-Parser Grok-Muster auf Linux- und Microsoft Windows-Systeme anwendet und OSSEC-Logfelder den Feldern von Chronicle Unified Data Model (UDM) für jeden Logtyp zuordnet.
Weitere Informationen zum Zuordnen von allgemeinen Feldern finden Sie unter Allgemeine Felder.
Referenzinformationen zu Logpfaden, grok-Mustern für Beispiellogs, Ereignistypen und UDM-Feldern auf Linux-Systemen finden Sie in den folgenden Abschnitten:
Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.
Allgemeine Felder
In der folgenden Tabelle sind die gängigen Logfelder und die entsprechenden UDM-Felder aufgeführt.
| Gemeinsames Logfeld | UDM-Feld |
|---|---|
| Erhebungszeit | Metadaten.collected_timestamp |
| Anwendung | Hauptkonto |
| log | Metadaten.Beschreibung |
| ip | target.ip oder Principal.ip |
| hostname | target.hostname oder Principal.Hostname |
Linux-System
In der folgenden Tabelle sind die Logpfade für das Linux-System, das „grok“-Muster für Beispiellogs, der Ereignistyp und die UDM-Zuordnungen aufgeführt:
| Logpfad | Beispiellog | Grillmuster | Ereignistyp | UDM-Zuordnung |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Do. 28 Apr | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETZWERK_UNCATEGORIZED | „timestamp“ ist „metadata.event_timestamp“ zugeordnet log_module ist target.resource.name zugeordnet log_level ist dem Wert „security_result“ zugeordnet. pid ist target.process.parent_process.pid zugeordnet. „tid“ ist „target.process.pid“ zugeordnet „client_ip“ ist „Principal.ip“ zugeordnet „client_port“ ist „Hauptkonto“ zugeordnet error_message ist „security_result.description“ zugeordnet network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/error.log | [Do. 28 Apr 26 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen | [{timestamp}][{log_module}:{priority}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETZWERK_UNCATEGORIZED | „timestamp“ ist „metadata.event_timestamp“ zugeordnet log_module ist target.resource.name zugeordnet log_level ist dem Wert „security_result“ zugeordnet. pid ist target.process.parent_process.pid zugeordnet. „tid“ ist „target.process.pid“ zugeordnet error_message ist „security_result.description“ zugeordnet network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Befehlszeile: '/usr/sbin/Apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer_url} | NETZWERK_UNCATEGORIZED | Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt „timestamp“ ist „metadata.event_timestamp“ zugeordnet log_module ist target.resource.name zugeordnet log_level ist dem Wert „security_result“ zugeordnet. pid ist target.process.parent_process.pid zugeordnet. „tid“ ist „target.process.pid“ zugeordnet „client_ip“ ist „Principal.ip“ zugeordnet „client_port“ ist „Hauptkonto“ zugeordnet error_message ist „security_result.description“ zugeordnet target.platform ist auf LINUX" festgelegt Verweis-URL ist network.http.referral_url zugeordnet. |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: fehlgeschlagen1. zu Backend2. | [{timestamp}] [{log_module}:{log_level}] [pid} | NETWORK_HTTP | „timestamp“ ist „metadata.event_timestamp“ zugeordnet log_module ist target.resource.name zugeordnet log_level ist dem Wert „security_result“ zugeordnet. pid ist target.process.parent_process.pid zugeordnet. „tid“ ist „target.process.pid“ zugeordnet „client_ip“ ist „Principal.ip“ zugeordnet „client_port“ ist „Hauptkonto“ zugeordnet error_message ist „security_result.description“ zugeordnet target_ip ist target.ip zugeordnet Verweis-URL ist network.http.referral_url zugeordnet. network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETZWERK_UNCATEGORIZED | „timestamp“ ist „metadata.event_timestamp“ zugeordnet „client_ip“ ist „Principal.ip“ zugeordnet „client_port“ ist „Hauptkonto“ zugeordnet connection_id ist network.session_id zugeordnet. network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETZWERK_UNCATEGORIZED | „timestamp“ ist „metadata.event_timestamp“ zugeordnet request_id ist security_result.detection_fields.(key/value) zugeordnet „client_ip“ ist „Principal.ip“ zugeordnet „client_port“ ist „Hauptkonto“ zugeordnet pid ist target.process.parent_process.pid zugeordnet. connection_id ist network.session_id zugeordnet. network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/error.log | [Samstag] | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETZWERK_UNCATEGORIZED | „timestamp“ ist „metadata.event_timestamp“ zugeordnet log_level ist dem Wert „security_result“ zugeordnet. request_id ist security_result.detection_fields.(key/value) zugeordnet „client_ip“ ist „Principal.ip“ zugeordnet „client_port“ ist „Hauptkonto“ zugeordnet pid ist target.process.parent_process.pid zugeordnet. connection_id ist network.session_id zugeordnet. error_message ist „security_result.description“ zugeordnet „file_path“ ist „target.file.full_path“ zugeordnet network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/access.log | 10.50.0.1 - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "6.6.6.6.6/1080 | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protokoll}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | „client_ip“ ist „Principal.ip“ zugeordnet „userid“ ist „Hauptkonto.user.userid“ zugeordnet Host ist Hauptkonto.hostname zugeordnet „timestamp“ ist „metadata.event_timestamp“ zugeordnet Methode ist network.http.method zugeordnet. Ressource ist Principal.resource.name zugeordnet client_protokoll ist netzwerk.anwendung_protokoll zugeordnet result_status ist network.http.response_code zugeordnet „object_size“ ist „network.sent_bytes“ zugeordnet Verweis-URL ist network.http.referral_url zugeordnet. „user_agent“ ist „network.http.user_agent“ zugeordnet Netzwerk.ip_protokoll ist auf "TCP" festgelegt network.direction ist auf "OUTBOUND" festgelegt. network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| var/log/Apache2/other_vhosts_access.log | wintest.abc.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"7-url-7 | {target_host}:{NUMBER:target_port} {client_ip} (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_logging}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host ist target.hostname zugeordnet. „target_port“ ist „target.port“ zugeordnet. „client_ip“ ist „Principal.ip“ zugeordnet „userid“ ist „Hauptkonto.user.userid“ zugeordnet Host ist Hauptkonto.hostname zugeordnet „timestamp“ ist „metadata.event_timestamp“ zugeordnet Methode ist network.http.method zugeordnet. Ressource ist Principal.resource.name zugeordnet result_status ist network.http.response_code zugeordnet „object_size“ ist „network.sent_bytes“ zugeordnet Verweis-URL ist network.http.referral_url zugeordnet. „user_agent“ ist „network.http.user_agent“ zugeordnet Netzwerk.ip_protokoll ist auf "TCP" festgelegt network.direction ist auf "OUTBOUND" festgelegt. target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt network.application_protokoll ist auf "HTTP" festgelegt |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | ALLGEMEIN_EVENT | Pfad ist target.url zugeordnet Verweis-URL ist network.http.referral_url zugeordnet. network.direction ist auf "OUTBOUND" festgelegt. target.platform ist auf LINUX" festgelegt network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_Feld>{user_agent}) | ALLGEMEIN_EVENT | „user_agent“ ist „network.http.user_agent“ zugeordnet network.direction ist auf "OUTBOUND" festgelegt. target.platform ist auf LINUX" festgelegt network.application_protokoll ist auf "HTTP" festgelegt target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "Apache" festgelegt Metadaten.Produktname ist auf "Apache HTTP Server" festgelegt |
| var/log/Nginx/access.log | 172.16.19.228 – Admin [05/Mai/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "6 | {Principal_ip} – (<optional_field>{Principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {Protokoll}(<message_text>){response_code} {Receivedd_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | „time“ ist „metadata.timestamp“ zugeordnet. ip ist target.ip zugeordnet Hauptkonto-IP-Adresse wird Principal.ip zugeordnet Hauptkontonutzer-ID wird Hauptkontonutzer-ID zugewiesen. „metadata_timestamp“ ist Zeitstempel zugeordnet http_method ist network.http.method zugeordnet „resource_name“ ist „Principal.resource.name“ zugeordnet. Protokoll wird Netzwerk.anwendungsprotokoll = (HTTP) zugeordnet. response_code ist network.http.response_code zugeordnet empfangene Byte ist network.sent_bytes zugeordnet Verweis-URL ist network.http.referral_url zugeordnet. „user_agent“ ist „network.http.user_agent“ zugeordnet target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "NGINX" festgelegt Metadaten.Produktname ist auf "NGINX" festgelegt Netzwerk.ip_protokoll ist auf "TCP" festgelegt network.direction ist auf "OUTBOUND" festgelegt. |
| var/log/Nginx/error.log | "{year}\/{month}\/{day}{time}[{priority}]{pid}#{thread_id}:{inner_message2}"
inner_message2 ist "{security_result_description_2},client:{Principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) zugeordnet. {protokoll}/1.1",host:"({target_ip}:{target_port})?" "bind() zu ({target_ip}|[{target_ip}]):{target_port} fehlgeschlagen ({security_description})", "\*{cid}{security_description}", &{security_description}" |
NETWORK_HTTP | thread_id ist Principal.process.pid zugeordnet Schweregrad ist Wert für „security_result“. (Debug wird UNKNOWN_SEVERITY, Information INFORMATIONAL, Hinweis ist LOW, Warnung MEDIUM zugeordnet, Fehler ist ERROR, CRITIC zugewiesen, Benachrichtigung ist HIGH zugeordnet.) target_file_full_path ist target.file.full_path zugeordnet Hauptkonto-IP-Adresse wird Principal.ip zugeordnet target_hostname ist target.hostname zugeordnet. http_method ist network.http.method zugeordnet „resource_name“ ist „Principal.resource.name“ zugeordnet. Protokoll ist TCP&TCP; target_ip ist target.ip zugeordnet „target_port“ ist „target.port“ zugeordnet. „security_description“ + „security_result_description_2“ ist „security_result.description“ zugeordnet. pid wird Principal.process.parent_process.pid zugeordnet network.application_protokoll ist auf "HTTP" festgelegt Zeitstempel ist %{year}/%{day}/%{month} %{time} zugeordnet target.platform ist auf LINUX" festgelegt Metadaten.Anbietername ist auf "NGINX" festgelegt Metadaten.Produktname ist auf "NGINX" festgelegt Netzwerk.ip_protokoll ist auf "TCP" festgelegt network.direction ist auf "OUTBOUND" festgelegt. |
|
| /log/rkhunter.log | [14:10:40] Prüfung auf erforderliche Befehle fehlgeschlagen | [<message_text>]{security_description} | STATUS_UPDATE | „time“ ist „metadata.timestamp“ zugeordnet. securtiy_description ist security_result.description zugeordnet Principal.platform ist auf "LINUX" festgelegt metadaten.vendor_name ist auf "RootKit Hunter" festgelegt Metadaten.Produktname ist auf RootKit Hunter festgelegt. |
| /log/rkhunter.log | [14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | DATEI_UNCATEGORIZED | „metadata_description“ ist „metadata.description“ zugeordnet „file_path“ ist „target.file.full_path“ zugeordnet „security_description“ ist „security_result.description“ zugeordnet Principal.platform ist auf "LINUX" festgelegt metadaten.vendor_name ist auf "RootKit Hunter" festgelegt Metadaten.Produktname ist auf RootKit Hunter festgelegt. |
| /log/rkhunter.log | ossec: Verkleinerte Dateigröße (bleibt noch vorhanden): '/var/log/rkhunter.log' | (<optional_field><message_text>:){metadata_description}:'{file_path}' | DATEI_UNCATEGORIZED | „time“ ist „metadata.timestamp“ zugeordnet. „metadata_description“ ist „metadata.description“ zugeordnet „file_path“ ist „target.file.full_path“ zugeordnet Principal.platform ist auf "LINUX" festgelegt metadaten.vendor_name ist auf "RootKit Hunter" festgelegt Metadaten.Produktname ist auf RootKit Hunter festgelegt. |
| /var/log/kern.log | 7. Juli 18:48:32 zynvpnsvr-Kernel: [2081387.006876] IPv4: Martian-Quelle 1.20.32.39 von 192.0.2.1, Dev as0t5 | {timestamp}{Principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{Principal_ip}, bei Entwickler {target_user_userid} | NETWORK_CONNECTION | Zeitstempel wird "metadata.event_timestamp" zugeordnet Principal_hostname wird „<quot;Principal.hostname"“ zugeordnet metadaten_product_event_type ist "metadata.product_event_type" zugeordnet target_ip wird "target.ip" zugeordnet Hauptkonto-IP ist "Principal.ip" zugeordnet target_user_userid ist "target.user.userid" zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/kern.log | 25. Oktober 10:10:51 localhost: Kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS"operation="profile_load" profile="unconfined"c{/15} | {timestamp}{principle_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | Zeitstempel wird "metadata.event_timestamp" zugeordnet Principal_hostname wird „<quot;Principal.hostname"“ zugeordnet metadaten_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description ist "metadata.description" zugeordnet file_path ist "Principal.process.file" zugeordnet pid wird "Principal.process.pid" zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/kern.log | 28 Apr 12:41:35 localhost Kernel: [ 5079.912215] ctnetlink v0.93: Registrierung mit nfnetlink. | {timestamp}{Principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | Zeitstempel wird "metadata.event_timestamp" zugeordnet Principal_hostname wird „<quot;Principal.hostname"“ zugeordnet metadaten_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description ist "metadata.description" zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/kern.log | 28. April 11:17:01 localhost: 0 [0.030139] smpboot: CPU0: Intel(R) Xeon(R) 5220R CPU @ 2.20GHz (Familie: 0x6, Modell: 0x55, Stepping: 0x7) | {timestamp}{Principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{Principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | Zeitstempel wird "metadata.event_timestamp" zugeordnet Principal_hostname wird „<quot;Principal.hostname"“ zugeordnet metadaten_product_event_type ist "metadata.product_event_type" zugeordnet Principal_asset_hardware_cpu_model ist "Principal.asset.hardware.cpu_model" zugeordnet metadata_description ist "metadata.description" zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt cpu_model ist Principal.asset.hardware.cpu_model zugeordnet |
| /var/log/syslog.log | 29 Jan 13:51:46 env | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){Receivedd_bytes} | NETWORK_CONNECTION | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet http_method ist network.http.method zugeordnet response_code ist network.http.response_code zugeordnet Ressource ist target.url zugeordnet target_ip ist target.ip zugeordnet empfangene Byte ist Netzwerk.Empfangen_Byte zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt Command_line wird Principal.process.command_line zugeordnet |
| /var/log/syslog.log | 26. Juli 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Empfangene Anfrage für einen neuen Agent (zsecmgr0000-0719) von: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet log_level ist dem Wert „security_result“ zugeordnet. Nachricht wird „metadata.description“ zugeordnet Command_line wird Principal.process.command_line zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt target_ip ist target.ip zugeordnet |
| /var/log/syslog.log | 26. Juli 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Neue Verbindung von 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description} von {target_ip} | STATUS_UPDATE | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet log_level ist dem Wert „security_result“ zugeordnet. Beschreibung ist „security_result.description“ zugeordnet Command_line wird Principal.process.command_line zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/syslog.log | 29 Jan 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: FEHLER: Ungültiger Agent-Name zsecmgr0000-0719 (dupliziert) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet log_level ist dem Wert „security_result“ zugeordnet. Beschreibung und Grund ist „security_result.description“ zugeordnet Command_line wird Principal.process.command_line zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/syslog.log | 2 Mai 06:25:01 localhost Apachectl[64942]: AH00558: Apache2: Der voll qualifizierte Domainname des Servers konnte mit ::1 nicht zuverlässig ermittelt werden. Legen Sie die Anweisung „#Server“ global fest, um diese Nachricht zu unterdrücken. | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{Nachricht} | STATUS_UPDATE | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet Nachricht wird „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt Command_line wird Principal.process.command_line zugeordnet |
| /var/log/syslog.log | 2.Mai 00:00:45 „localhost fstrim[64727]: /: 6,7 GiB (7205015552 Byte) zugeschnitten | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{Nachricht} | STATUS_UPDATE | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet Nachricht wird „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt Command_line wird Principal.process.command_line zugeordnet |
| /var/log/syslog.log | 3. Mai 10:14:37 localhost rsyslogd: rsyslogd-Nutzer-ID zu „102“ geändert | {collected_timestamp}{hostname}{command_line}:{message}an{user_id} | STATUS_UPDATE | Erfassungszeit_zu Metadaten zugeordnet.collected_timestamp hostname ist Principal zugewiesen. Nachricht wird „metadata.description“ zugeordnet „user_id“ ist „Principal.user.userid“ zugeordnet Command_line wird Principal.process.command_line zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/syslog.log | 5. Mai 10:36:48 localhost systemd[1]: System-Logging-Dienst wird gestartet... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{Nachricht} | STATUS_UPDATE | Erfassungszeit_zu Metadaten.ereignis_timestamp hostname ist Principal zugewiesen. pid wird Principal.process.pid zugeordnet Nachricht wird „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt Command_line wird Principal.process.command_line zugeordnet |
| /var/log/mail.log | 16. März 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1,metadata_descriptionid=<202203160610.4289 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname ist target.hostname zugeordnet. Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/mail.log | 7. April 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-Mail-Adresse nicht zugeordnet | target_hostname ist target.hostname zugeordnet. Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/mail.log | 7 Apr 13:44:01 prod postfix/Bereinigen[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname ist target.hostname zugeordnet. Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. „resource_name“ ist „target.resource.name“ zugeordnet. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/mail.log | 7. April 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (Warteschlange aktiv) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-Mail-Adresse nicht zugeordnet | target_hostname ist target.hostname zugeordnet. Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/mail.log | 7. April 13:44:01 prod postfix/smtp[23436]: verbinde dich mit gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Netzwerk ist nicht erreichbar | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname ist target.hostname zugeordnet. Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/mail.log | 7. April 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, Verzögerung=0.01, Verspätungen=0/0.01/0/0, dsn=2.0.0, status=sent (An Postfach gesendet) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-Mail-Adresse nicht zugeordnet | target_hostname ist target.hostname zugeordnet. Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap – Zugriff auf Konfigurationsschlüssel '[filterNames]' durch Punktschreibweise wurde verworfen und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen 'config.getProperty(key, targetClass)'. | [{timestamp}]{ Schweregrad}{Übersicht}\-{Sicherheitsbeschreibung}
, at {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | Command_line wird "target.process.command_line" zugeordnet file_path ist "target.process.file.full_path" zugeordnet Zeitstempel wird "metadata.event_timestamp" zugeordnet Schweregrad ist "security_result.streng" zugeordnet Zusammenfassung ist "security_result.summary" zugeordnet security_description ist "security_result.description" Metadaten.Produktname ist auf "OSSEC" festgelegt Metadaten.Anbietername ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 27. April 21:03:03 Ubuntu18 systemd-logind[836]: Sitzung 3080 entfernt. | {timestamp} {Principal_hostname}{Principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{Principal_user_userid})? | USER_LOGOUT | Zeitstempel wird "metadata.timestamp" zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_Hostname“ außerdem „"target.hostname"“ zugeordnet. Andernfalls wird „"Principal.hostname"“ zugeordnet. Wenn für „metadata.event_type“ der Typ „USER_LOGOUT“ festgelegt ist, wird „Principal_application“ der Datei „&.“. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „pid“ der Datei „"target.process.pid"“ zugeordnet, ansonsten wird sie „"Principal.process.pid"“ zugeordnet. security_description ist "security_result.description" network_session_id ist "network.session_id" zugeordnet. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_user_userid“ der Property „"Principal.user.userid"“ zugeordnet, andernfalls wird sie „"target.user.userid"“ zugeordnet. "Principal.platform" ist LINUX" zugeordnet if(removed_session) event_type auf USER_LOGOUT gesetzt extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 28. April 11:33:24 Ubuntu18 systemd-logind[836]: Neue Sitzung 3205 des Nutzerstamms. | {timestamp} {Principal_hostname}{Principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{Principal_user_userid})? | USER_LOGIN | Zeitstempel wird "metadata.timestamp" zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_Hostname“ außerdem „"target.hostname"“ zugeordnet. Andernfalls wird „"Principal.hostname"“ zugeordnet. Wenn für „metadata.event_type“ der Typ „USER_LOGOUT“ festgelegt ist, wird „Principal_application“ der Datei „&.“. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „pid“ der Datei „"target.process.pid"“ zugeordnet, ansonsten wird sie „"Principal.process.pid"“ zugeordnet. security_description ist "security_result.description" network_session_id ist "network.session_id" zugeordnet. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_user_userid“ der Property „"Principal.user.userid"“ zugeordnet, andernfalls wird sie „"target.user.userid"“ zugeordnet. "Principal.platform" ist LINUX" zugeordnet "network.application_protokoll" ist "SSH" zugeordnet if(new_session) event_type auf USER_LOGIN gesetzt extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 28. April 11:35:31 Ubuntu18 sshd[23573]: Zulässiges Passwort für Stamm aus 10.0.1.1 Port 40503 ssh2 | {timestamp} {Principal_hostname}{Principal_Application} (<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer)?{Principal_user_userid} aus Port {Principal_ip} {ssh_2}:{security_result_detection_fileds_ssh_kv}SHA256:{security_result} | USER_LOGIN | Zeitstempel wird "metadata.timestamp" zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_Hostname“ außerdem „"target.hostname"“ zugeordnet. Andernfalls wird „"Principal.hostname"“ zugeordnet. Wenn für „metadata.event_type“ der Typ „USER_LOGOUT“ festgelegt ist, wird „Principal_application“ der Datei „&.“. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „pid“ der Datei „"target.process.pid"“ zugeordnet, ansonsten wird sie „"Principal.process.pid"“ zugeordnet. security_description ist "security_result.description" Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_user_userid“ der Property „"Principal.user.userid"“ zugeordnet, andernfalls wird sie „"target.user.userid"“ zugeordnet. Hauptkonto-IP ist "Principal.ip" zugeordnet Hauptkontoport ist "Principal.port" zugeordnet security_result_detection_fields_ssh_kv ist "security_result.detection_fields.key/value" zugeordnet security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet "Principal.platform" ist auf "LINUX" festgelegt "network.application_protokoll" ist auf "SSH" festgelegt Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 28. Apr 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): Authentifizierungsfehler; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {Principal_hostname}{Principal_application} ([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({Principal_user_})?user_user(user_user) | USER_LOGIN | Zeitstempel wird "metadata.timestamp" zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_Hostname“ außerdem „"target.hostname"“ zugeordnet. Andernfalls wird „"Principal.hostname"“ zugeordnet. Wenn für „metadata.event_type“ der Typ „USER_LOGOUT“ festgelegt ist, wird „Principal_application“ der Datei „&.“. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „pid“ der Datei „"target.process.pid"“ zugeordnet, ansonsten wird sie „"Principal.process.pid"“ zugeordnet. security_description ist "security_result.description" Principal_user_uuserid ist "Principal.user.attribute.labels" zugeordnet Principal_user_attribute_labels_euid_kv ist "Principal.user.attribute.labels.key/value" zugeordnet. Principal_ruser_userid wird „"Principal.user.attribute.labels.key/value"“ zugeordnet. target_ip wird "target.ip" zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_user_userid“ der Property „&.“.{2}{/3} "Principal.platform" ist auf "LINUX" festgelegt "network.application_protokoll" ist auf "SSH" festgelegt Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 24. Feb. 00:13:02 genaue32 sudo: tsg : Nutzer NICHT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; Command=/bin/ls | {timestamp} {Principal_hostname}{Principal_Application} (<optional_field>[{pid}])<optional_field> {Principal_user_userid}:{security_description}; | STATUS_UPDATE | „timestamp“ ist „metadata.timestamp“ zugeordnet Hauptkonto-Hostname ist Hauptkonto.hostname Principal_application ist Hauptkonto. pid wird Principal.process.pid zugeordnet Hauptkontonutzer-ID wird „target.user.userid“ zugeordnet security_description ist "security_result.description" Principal_process_command_line_1 ist "Principal.process.command_line" zugeordnet Principal_process_command_line_2 ist "Principal.process.command_line" zugeordnet Principal_user_attribute_labels_uid_kv ist "Principal.user.attribute.labels.key/value" zugeordnet. "Principal.platform" ist auf "LINUX" festgelegt |
| /var/log/auth.log | 26. Apr | {timestamp} {Principal_hostname}{Principal_application}(<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer|Nutzer)?{Principal_user_userid}(von (uid={Principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | „timestamp“ ist „metadata.timestamp“ zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_Hostname“ außerdem „"target.hostname"“ zugeordnet. Andernfalls wird „"Principal.hostname"“ zugeordnet. Wenn für „metadata.event_type“ der Typ „USER_LOGOUT“ festgelegt ist, wird „Principal_application“ der Datei „&.“. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „pid“ der Datei „"target.process.pid"“ zugeordnet, ansonsten wird sie „"Principal.process.pid"“ zugeordnet. security_description ist "security_result.description" Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_user_userid“ der Property „"Principal.user.userid"“ zugeordnet, andernfalls wird sie „"target.user.userid"“ zugeordnet. Principal_user_attribute_labels_uid_kv ist "Principal.user.attribute.labels.key/value" zugeordnet. "Principal.platform" ist auf "LINUX" festgelegt "network.application_protokoll" ist auf "SSH" festgelegt Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 26. April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Root beendet | {timestamp} {Principal_hostname}{Principal_application}(<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer|Nutzer)?{Principal_user_userid}(von (uid={Principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | „timestamp“ ist „metadata.timestamp“ zugeordnet Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_Hostname“ außerdem „"target.hostname"“ zugeordnet. Andernfalls wird „"Principal.hostname"“ zugeordnet. Wenn für „metadata.event_type“ der Typ „USER_LOGOUT“ festgelegt ist, wird „Principal_application“ der Datei „&.“. Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „pid“ der Datei „"target.process.pid"“ zugeordnet, ansonsten wird sie „"Principal.process.pid"“ zugeordnet. security_description ist "security_result.description" Wenn für „metadata.event_type“ der Wert „USER_LOGOUT“ festgelegt ist, wird „Principal_user_userid“ der Property „"Principal.user.userid"“ zugeordnet, andernfalls wird sie „"target.user.userid"“ zugeordnet. Principal_user_attribute_labels_uid_kv wird „Principal.user.attribute.labels.key/value“ zugeordnet "Principal.platform" ist auf "LINUX" festgelegt Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| /var/log/auth.log | 24. Mai 12:56:31 ip-10-50-2-176 sshd[119931]: Zeitüberschreitung, Client reagiert nicht. | {timestamp} {Principal_Hostname} {Principal_Application}([{pid}])<optional_Feld> {Sicherheitsergebnis} | STATUS_UPDATE | „timestamp“ ist „metadata.timestamp“ zugeordnet Hauptkonto-Hostname ist Hauptkonto.hostname Principal_application ist Hauptkonto. pid wird Principal.process.pid zugeordnet „security_result_description“ ist „security_result_description“ zugeordnet "Principal.platform" ist auf "LINUX" festgelegt Metadaten.Anbietername ist auf OSSEC festgelegt Metadaten.Produktname ist auf OSSEC festgelegt |
| /log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(Initialize_winbindd_cache) initialisieren_winbindd_cache: Cache leeren und neue Version mit Version 2 erstellen | {timestamp},{priority}(<optional_field>,pid={pid},effective({Principal_user_attribute_labels_kv},{Principal_group_attribute_labels_kv}),real({Principal_user_userid},{Principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | Zeitstempel wird "metadata.timestamp" zugeordnet pid wird "Principal.process.pid" zugeordnet Principal_user_attribute_labels_kv wird „"Principal.user.attribute.labels"“ zugeordnet. Principal_group_attribute_labels_kv wird „"Principal.group.attribute.labels"“ zugeordnet. Principal_user_userid ist "Principal.user.userid" zugeordnet Principal_group_product_object_id wird "Principal.group.product_object_id" zugeordnet security_description ist "security_result.description" metadata_description ist "metadata.description" zugeordnet Metadaten.Produktname ist auf "OSSEC" festgelegt "metadata.vendor_name" ist auf "OSSEC" festgelegt |
| /log/samba/log.winbindd | Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf dem Gerät | {user_id}: {desc} | STATUS_UPDATE | Metadaten.Produktname ist auf "OSSEC" festgelegt Metadaten.Anbietername" ist auf "OSSEC" festgelegt „user_id“ ist „Principal.user.userid“ zugeordnet desc ist Metadaten zugewiesen.description |
| var/log/openvpnas.log | + | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}&{target_hostname}&{target_hostname} | NETWORK_HTTP | „timestamp“ ist „metadata.timestamp“ zugeordnet log_level ist dem Wert „security_result“ zugeordnet. „local_ip“ ist „Principal.ip“ zugeordnet target_ip ist target.ip zugeordnet target_hostname ist Principal zugewiesen. Port ist target.port zugeordnet Nutzer ist Principal.user.user_display_name zugeordnet Metadaten.Anbietername ist auf "OpenVPN" festgelegt Metadaten.Produktname auf "OpenVPN Access Server" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Bibliothekenversionen: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | „timestamp“ ist „metadata.timestamp“ zugeordnet log_level ist dem Wert „security_result“ zugeordnet. msg ist „security_result.description“ zugeordnet Metadaten.Anbietername ist auf "OpenVPN" festgelegt Metadaten.Produktname auf "OpenVPN Access Server" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| var/log/openvpnas.log | + | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
Nachricht wird <message_text>with[<message_text>]<message_text>:{port}<message_text> zugeordnet |
STATUS_UPDATE | „timestamp“ ist „metadata.timestamp“ zugeordnet log_level ist dem Wert „security_result“ zugeordnet. Nachricht ist security_result.description zugeordnet Metadaten.Anbietername ist auf "OpenVPN" festgelegt Metadaten.Produktname auf "OpenVPN Access Server" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| var/log/openvpnas.log | - | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | „timestamp“ ist „metadata.timestamp“ zugeordnet log_level ist dem Wert „security_result“ zugeordnet. Nachricht ist security_result.description zugeordnet Nutzer ist Principal.user.user_display_name zugeordnet „ip“ ist „prinzipal.ip“ zugeordnet Metadaten.Anbietername ist auf "OpenVPN" festgelegt Metadaten.Produktname auf "OpenVPN Access Server" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| var/log/openvpnas.log | - | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({}}## | STATUS_UPDATE | „timestamp“ ist „metadata.timestamp“ zugeordnet log_level ist dem Wert „security_result“ zugeordnet. Nachricht ist security_result.description zugeordnet Übersicht ist security_result.summary zugeordnet „user_name“ ist dem Hauptkonto „user.user_user_display_name“ zugeordnet cli ist Principal.process.command_line zugeordnet 'status' wird dem Hauptkonto „user.user_authentication_status“ zugeordnet Metadaten.Anbietername ist auf "OpenVPN" festgelegt Metadaten.Produktname auf "OpenVPN Access Server" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| /var/log/audit.log | type=SYSTEM_RUNLEVELmetadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295metadata_description='old-level=N new-level=5 commutmdquotint-system tlog-system!system quotquotint-system&gpst-system g) | type={audit_log_type} |
EventType im aktuellen Tabellenblatt des Audit-Log-Tabs „EventType-Zuordnung“ | „audit_log_type“ ist „metadata.product_event_type“ zugeordnet metadata_ingested_timestamp wird "metadata.event_timestamp" zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.plateform ist auf "LINUX" festgelegt Daten werden dem Schlüssel/Wert-Paar „&DM“ auf dem aktuellen Tab „audit.log“ des Tabellenblatts zugeordnet |
| var/ossec/logs/ossec.log | 12.05.2022 18:15:34 ossec-syscheckd: INFO: Syscheck-Scan wird gestartet | {timestamp} {application}(({pid}))<optional_field>{ Schweregrad}:{Metadaten_Beschreibung} | STATUS_UPDATE | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „metadata_description“ ist „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring fulloutput of Command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{priority}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | VERARBEITUNGSFUNKTIONIERT | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. Command_line ist target.process.command_line zugeordnet „metadata_description“ ist „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): FEHLER: Warteschlange '/Queue/alerts/ar' nicht zugänglich: 'Verbindung abgelehnt' | {timestamp} {application}(({pid}))<optional_field>{priority}: Warteschlange '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „metadata_description“ ist „metadata.description“ zugeordnet Ressource ist target.resource.name zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analysierende Datei: '/var/log/rundeck/rundeck.log' | {timestamp} {application}(({pid}))<optional_field>{priority}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | DATEI_UNCATEGORIZED | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „file_path“ ist „target.file.full_path“ zugeordnet „metadata_description“ ist „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{priority}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROZESS | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „file_path“ ist „target.file.full_path“ zugeordnet Metadaten.Anbietername ist auf OSSEC festgelegt Metadaten.Produktname ist auf OSSEC festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{ Schweregrad}:{Metadaten_Beschreibung} | STATUS_UPDATE | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „metadata_description“ ist „metadata.description“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 11.05.2022 19:34:21 ossec-remoted(1103): FEHLER: Datei konnte nicht geöffnet werden; Grund: [(13)-(Berechtigung verweigert)]. | {timestamp} {application}(({pid}))<optional_field>{priority}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description}) | DATEI_UNCATEGORIZED | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „file_path“ ist „target.file.full_path“ zugeordnet „metadata_description“ ist „metadata.description“ zugeordnet error_code ist security_result.summary zugeordnet error_metadata_description ist „security_result.summary“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 23.03.2022 13:00:51 ossec-remoted(1206): FEHLER: Port kann nicht gebunden werden '1514' | {timestamp} {application}(({pid}))<optional_field>{priority}:{metadata_description}port'{port}' | STATUS_UPDATE | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „metadata_description“ ist „metadata.description“ zugeordnet Port ist target.port zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 11.05.2022 19:32:05 ossec-analysisd: INFO: Leseregeln-Datei: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{priority}:{metadata_description}:'{file_path}' | DATEI_LESEN | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „metadata_description“ ist „metadata.description“ zugeordnet „file_path“ ist „target.file.full_path“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysised: INFO: Ignorierende Datei: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{priority}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | DATEI_UNCATEGORIZED | Anwendung ist target.application zugeordnet pid ist target.process.pid zugeordnet. Schweregrad ist Wert für „security_result“. „file_path“ ist „target.file.full_path“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt |
| ntpd-Prozess | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protokoll}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | Protokoll wird Netzwerk.ip_Protokoll zugeordnet pid wird Principal.process.pid zugeordnet Metadaten.Programmname auf Programmname eingestellt: %{process_name} Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
| Syscheck | Datei '/usr/bin/fwts' geändert | Datei \{39;{file_path}' {description} | DATEI_MODIFIZIEREN | „description“ ist „metadata.description“ zugeordnet „file_path“ ist „target.file.full_path“ zugeordnet Metadaten.Anbietername ist auf "OSSEC" festgelegt Metadaten.Produktname ist auf "OSSEC" festgelegt Principal.platform ist auf "LINUX" festgelegt |
Prüfen
Audit-Log-Felder in UDM-Felder
In der folgenden Tabelle sind die Logfelder des Audit-Logtyps und die entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Konto | target.user.user_display_name |
| Addierer | Hauptkonto |
| arch | about.labels.key/value |
| auid | target.user.userid |
| Cgroup | Hauptkonto.prozess.datei.vollständiger_pfad |
| CMD | target.process.command_line |
| Komm. | Zielanwendung |
| CWD | target.file.full_path |
| Daten | about.labels.key/value |
| Devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| Stigmat | target.group.product_object_id |
| Euid | target.user.userid |
| EXE | target.process.file.full_path |
| exit | Ziel-Labels.Schlüssel/Wert |
| Familie | network.ip_protokoll ist auf "IP6IN4" gesetzt, wenn "ip_protokoll" == 2 sonst auf "UNKNOWN_IP_PROTOCOL" gesetzt ist. |
| Dateityp | target.file.mime_type |
| FSGT | target.group.product_object_id |
| Fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| IMPType | Netzwerk.IP_Protokoll ist auf "ICMP" festgelegt |
| id | Wenn [audit_log_type] == "ADD_USER", target.user.userid auf "%{id}" festgelegt ist
Wenn [audit_log_type] == "ADD_GROUP", target.group.product_object_id auf "%{id}" festgelegt ist anderen Wert für „target.user.attribute.labels.key/value“ auf „id“ festgelegt |
| Iode | target.resource.product_object_id |
| key | security_result.detection_fields.key/value |
| list | Sicherheitsergebnis.Info.Labels.Schlüssel/Wert |
| Modus | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| neues Laufwerk | target.resource.name |
| New Mem | target.resource.attribute.labels.key/value |
| neue vpu | target.resource.attribute.labels.key/value |
| New-Net | Pincipal.mac |
| neue_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| Opid | target.process.pid |
| Dosen | network.session_id (Netzwerk-ID) |
| Oouid | target.user.userid |
| Obj_gid | target.group.product_object_id |
| Obj_Rolle | target.user.attribute.role.name |
| Obj_UID | target.user.userid |
| Obj_Nutzer | target.user.user_display_name |
| OGG | target.group.product_object_id |
| Oouid | target.user.userid |
| Pfad | target.file.full_path |
| Dauerwelle | target.asset.attribute.permissions.name |
| PID | target.process.pid |
| ppid | target.parent_process.pid |
| Proto | Wenn [ip_protokolle] == 2, ist netzwerk.ip_protokoll auf "IP6IN4" festgelegt
else network.ip_protokoll ist auf "UNKNOWN_IP_PROTOCOL" festgelegt |
| Res | Sicherheitsergebnis |
| Ergebnis | Sicherheitsergebnis |
| Sattel | security_result.detection_fields.key/value |
| Said | target.user.attribute.labels.key/value |
| ses | network.session_id (Netzwerk-ID) |
| srigin | target.group.product_object_id |
| Sig | security_result.detection_fields.key/value |
| Sub-Nutzer | target.user.user_display_name |
| Erfolgreich | Wenn Erfolg=='yes', securtiy_result.summary auf 'Systemaufruf war erfolgreich'
else securtiy_result.summary ist auf 'systemcall was failed' |
| Suid | target.user.userid |
| Systemanruf | about.labels.key/value |
| Terminal | Ziel-Labels.Schlüssel/Wert |
| TTY | Ziel-Labels.Schlüssel/Wert |
| uid | Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER,USER_CMid, USER_CMid, USER_CM_POLICY.
sonst ist uid auf target.user.userid festgelegt |
| vm | target.resource.name |
Audit-Log-Typen in UDM-Ereignistypen
In der folgenden Tabelle sind die Audit-Logtypen und die entsprechenden UDM-Ereignistypen aufgeführt.
| Audit-Log-Typ | UDM-Ereignistyp | Beschreibung |
|---|---|---|
| Gruppe hinzufügen | GRUPPENGRUPPE | Wird ausgelöst, wenn eine Nutzerbereichsgruppe hinzugefügt wird. |
| NUTZER_HINZUFÜGEN | USER_CREATION | Wird ausgelöst, wenn ein Nutzerkonto hinzugefügt wird. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Wird ausgelöst, wenn ein Prozess ungewöhnlich endet (mit einem Signal, das einen Core Dump verursachen könnte, falls aktiviert) |
| AVG | ALLGEMEIN_EVENT | Wird ausgelöst, um eine SELinux-Berechtigungsprüfung aufzuzeichnen. |
| KONFIG_ÄNDERUNG | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn die Konfiguration des Audit-Systems geändert wird. |
| CRED_ACQ (CRED_ACQ) | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich erhält. |
| CRED_DISP | USER_LOGOUT | Wird ausgelöst, wenn ein Nutzer Anmeldedaten für Nutzerbereiche entfernt. |
| CRED_REFR | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert. |
| CRYPTO_KEY_NUTZER | USER_RESOURCE_ACCESS | Wird ausgelöst, um die für kryptografische Zwecke verwendete kryptografische Schlüsselkennung aufzuzeichnen. |
| CRYPTO-SESSION | VERARBEITUNGSTERMINATION | Wird ausgelöst, um Parameter zu erfassen, die während einer TLS-Sitzung festgelegt werden. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORISIERT | Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen. |
| Logo: DAEMON_ABORT | VERARBEITUNGSTERMINATION | Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird. |
| DAEMON_END | VERARBEITUNGSTERMINATION | Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde. |
| DAEMON_ERneuern | VERARBEITUNGSFUNKTIONIERT | Wird ausgelöst, wenn der überwachte Daemon das Logging fortsetzt. |
| DAEMON_ROTATE | VERARBEITUNGSFUNKTIONIERT | Wird ausgelöst, wenn der geprüfte Daemon die Audit-Logdateien rotiert. |
| DAEMON_START | VERÖFFENTLICHUNG | Wird ausgelöst, wenn der geprüfte Daemon gestartet wird. |
| ENTF_GRUPPE | GRUPPE_DELETION | Wird ausgelöst, wenn eine Nutzerbereichsgruppe gelöscht wird |
| Ausstehend | NUTZER_DELETION | Wird ausgelöst, wenn ein Nutzerbereich gelöscht wird |
| EXECVE | VERÖFFENTLICHUNG | Wird ausgelöst, um Argumente des exeve(2)-Systemaufrufs aufzuzeichnen. |
| MAC_CONFIG_CHANGE | ALLGEMEIN_EVENT | Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORISIERT | Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn eines erkannt wird oder wenn sich die IPSec-Konfiguration ändert |
| MAC_POLICY_LOAD | ALLGEMEIN_EVENT | Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird. |
| MAC-STATUS | ALLGEMEIN_EVENT | Wird ausgelöst, wenn der SELinux-Modus (erzwingen, erlaubend, deaktiviert) geändert wird |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORISIERT | Wird ausgelöst, wenn ein statisches Label hinzugefügt wird, wenn die Paket-Labeling-Funktionen des von NetLabel bereitgestellten Kernels verwendet werden. |
| Netzfilter | ALLGEMEIN_EVENT | Wird ausgelöst, wenn Änderungen der Netfilterkette erkannt werden |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORISIERT | Wird ausgelöst, um Informationen zu einem Prozess aufzuzeichnen, an den ein Signal gesendet wird. |
| PFAD | FILE_OPEN/GENERIC_EVENT | Wird ausgelöst, um Informationen zu Dateinamenspfaden aufzuzeichnen. |
| Logo: SELINUX_ERR | ALLGEMEIN_EVENT | Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird |
| SERVICE_START | SERVICE_START | Wird ausgelöst, wenn ein Dienst gestartet wird |
| SERVICE_STOPP | SERVICE_STOPP | Wird ausgelöst, wenn ein Dienst beendet wird |
| ANRUF | ALLGEMEIN_EVENT | Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen. |
| SYSTEM_BOOT | STATUS_STARTNach oben | Wird ausgelöst, wenn das System gestartet wird |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Wird ausgelöst, wenn das Ausführungsniveau des Systems geändert wird |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Wird ausgelöst, wenn das System heruntergefahren wird |
| NUTZER_AKTIVIERT | EINSTELLUNG_MODIFIZIERUNG | Wird ausgelöst, wenn ein Nutzerkonto für einen Nutzerbereich geändert wird. |
| NUTZER_AUTH | USER_LOGIN | Wird ausgelöst, wenn ein Authentifizierungsversuch des Nutzerbereichs erkannt wird. |
| NUTZER_AVC | USER_UNCATEGORIZED (Vom Nutzer nicht zugeordnet) | Wird ausgelöst, wenn eine AVC-Nachricht für den Nutzerbereich generiert wird |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn ein Nutzerkonto-Attribut geändert wird |
| NUTZER_CMD | NUTZER_KOMMUNIKATION | Wird ausgelöst, wenn ein Shell-Befehl in einem Nutzerbereich ausgeführt wird. |
| NUTZER_END | USER_LOGOUT | Wird ausgelöst, wenn eine Sitzung im Nutzerbereich beendet wird. |
| NUTZER | USER_UNCATEGORIZED (Vom Nutzer nicht zugeordnet) | Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird. |
| USER_LOGIN | USER_LOGIN | Wird ausgelöst, wenn sich ein Nutzer anmeldet |
| USER_LOGOUT | USER_LOGOUT | Wird ausgelöst, wenn sich ein Nutzer abmeldet |
| USER_MAC_POLICY_LOAD | RESSOURCE_READ | Wird ausgelöst, wenn ein Daemon eines Nutzerbereichs eine SELinux-Richtlinie lädt. |
| NUTZER_MGMT | USER_UNCATEGORIZED (Vom Nutzer nicht zugeordnet) | Wird ausgelöst, um Daten zur Verwaltung von Nutzerbereichen aufzuzeichnen. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird |
| NUTZER_START | USER_LOGIN | Wird ausgelöst, wenn eine Sitzung im Nutzerbereich gestartet wird. |
| USYS_KONFIGURIEREN | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn eine Änderung der Systemkonfiguration für einen Nutzerbereich erkannt wird. |
| VIRT_CONTROL | STATUS_UPDATE | Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder gestoppt wird |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Ressourcenzuweisung einer virtuellen Maschine aufzuzeichnen. |
E-Mail-Protokollfelder an UDM-Felder
In der folgenden Tabelle sind die Logfelder des E-Mail-Protokolltyps und die entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Klasse | about.labels.key/value |
| CTLaddr | Hauptkontonutzer.user_display_name |
| From | Netzwerk.E-Mail.von |
| Uneinheitlich | netzwerk.email.mail_id |
| Proto | netzwerk.anwendungsprotokoll |
| Relay | mittler.hostname
mittler.de |
| Größe | Netzwerk.Empfangen_Byte |
| Statistik | Sicherheitsergebnis |
| Bis | network.email.to |
E-Mail-Protokolltypen an UDM-Ereignistyp
In der folgenden Tabelle sind die E-Mail-Protokolltypen und die entsprechenden UDM-Ereignistypen aufgeführt.
| E-Mail-Protokolltyp | UDM-Ereignistyp |
|---|---|
| E-Mail senden | ALLGEMEIN_EVENT |
| Abholung | E-Mail-Adresse nicht zugeordnet |
| cleanup | ALLGEMEIN_EVENT |
| qmgr | E-Mail-Adresse nicht zugeordnet |
| SMTP | ALLGEMEIN_EVENT |
| lokal | E-Mail-Adresse nicht zugeordnet |