Diese Seite wurde von der Cloud Translation API übersetzt.

OSSEC-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie OSSEC-Logs erfassen können, indem Sie OSSEC und einen Google Security Operations-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Logtypen und die unterstützte OSSEC-Version aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Überblick

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie OSSEC-Agents und -Server so konfiguriert sind, dass Logs an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.

Deployment-Architektur

Das Architekturdiagramm zeigt die folgenden Komponenten:

Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem OSSEC-Agent.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, in dem der OSSEC-Agent installiert ist.
OSSEC-Agent: Der OSSEC-Agent erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den OSSEC-Server weiter.
OSSEC-Server. Der OSSEC-Server überwacht und empfängt Informationen von den OSSEC-Agents, analysiert die Logs und leitet sie an den Google Security Operations-Forwarder weiter.
Google Security Operations-Forwarder. Die Google Security Operations-Weiterleitung ist eine einfache Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog unterstützt. Der Google Security Operations-Forwarder leitet die Protokolle an Google Security Operations weiter.
Google Security Operations Google Security Operations speichert und analysiert die Logs vom OSSEC-Server.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel OSSEC.

Hinweise

Achten Sie darauf, dass der OSSEC-Agent auf den Microsoft Windows- oder Linux-Systemen installiert ist, die Sie überwachen möchten. Weitere Informationen zum Installieren des OSSEC-Agents finden Sie unter OSSEC-Installation.
Verwenden Sie eine OSSEC-Version, die vom Google Security Operations-Parser unterstützt wird. Der Google Security Operations-Parser unterstützt OSSEC-Version 3.6.0.
Achten Sie darauf, dass der OSSEC-Server auf dem zentralen Linux-Server installiert und konfiguriert ist.

Prüfen Sie die Logtypen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die vom Google Security Operations-Parser unterstützten Produkte und Protokolldateipfade aufgeführt:

Betriebssystem	Produkt	Protokolldateipfad
Microsoft Windows	Microsoft Windows	Ereignisprotokolle
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	Linux	/var/log/ulog/syslogemu.log
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	Rkhunter	/var/log/rkhunter.log
Linux – OSSEC-Server	OSSEC	/var/ossec/logs/ossec.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	Rundeck	/var/log/rundeck/rundeck.api.log
Linux	Rundeck	/var/log/rundeck/service.log
Linux	Samba	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

OSSEC-Agent und -Server sowie Google Security Operations-Forwarder konfigurieren

So konfigurieren Sie den OSSEC-Agent und -Server sowie die Google Security Operations-Weiterleitung:

Zum Überwachen der von den Linux-Systemen generierten Logs erstellen Sie eine ossec.conf-Datei, um die Log-Monitoring-Konfiguration für den Agent anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Linux-System:

<ossec_config>

<!-- Files to monitor (localfiles) -->
<localfile>
 <log_format>syslog</log_format>
 <location>/var/ossec/logs/ossec.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/auth.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/kern.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/mail.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/syslog</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/error.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/other_vhost_access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/nonvnc-server-access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/error.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/openvpnas.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rkhunter.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rundeck/service.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/samba/log.winbindd</location>
</localfile>

<localfile>
 <log_format>command</log_format>
 <command>df -P</command>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/audit/audit.log</location>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>last -n 5</command>
</localfile>
</ossec_config>

Zum Überwachen der von den Microsoft Windows-Systemen generierten Logs erstellen Sie eine ossec.conf-Datei, um die Logmonitoring-Konfiguration für den Agent anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Microsoft Windows-System:

<ossec_config>
<!-- Channels to monitor (localfiles) -->
<localfile>
 <log_format>Security</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>System</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>Application</log_format>
 <location>eventchannel</location>
</localfile>
</ossec_config>

Zum Weiterleiten der Logs vom OSSEC-Server an Google Security Operations mithilfe des Syslog-Protokolls erstellen Sie die OSSEC-Serverkonfigurationsdatei syslog.conf im folgenden Format:
```
.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
```
Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
```
  - syslog:
      common:
        enabled: true
        data_type: OSSEC
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10514
      connection_timeout_sec: 60
```

Feldzuordnungsreferenz

In diesem Abschnitt wird erläutert, wie der Google Security Operations-Parser Grok-Muster für Linux- und Microsoft Windows-Systeme anwendet und wie er OSSEC-Logfelder den Feldern des Google Security Operations Unified Data Model (UDM) für jeden Logtyp zuordnet.

Informationen zur Zuordnungsreferenz für allgemeine Felder finden Sie unter Allgemeine Felder.

Referenzinformationen zu Logpfaden, Grok-Muster für Beispiellogs, Ereignistypen und UDM-Felder auf Linux-Systemen finden Sie in den folgenden Abschnitten:

Linux
Audit
Audit-Log-Ereignistyp
E-Mail
E-Mail-Protokollereignistyp

Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.

Allgemeine Felder

In der folgenden Tabelle sind die allgemeinen Logfelder und die zugehörigen UDM-Felder aufgeführt.

Gemeinsames Logfeld	UDM-Feld
collected_time	metadata.collected_timestamp
Anwendung	principal.application
log	metadata.description
ip	target.ip oder principal.ip
Hostname	target.hostname oder principal.hostname

Linux-System

Die folgende Tabelle enthält die Logpfade für das Linux-System sowie das Grok-Muster für Beispiellogs, den Ereignistyp und die UDM-Zuordnungen:

Logpfad	Beispiellog	Grok-Muster	Ereignistyp	UDM-Zuordnung
/var/log/apache2/error.log	[Do, 28. April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] konnte keine Verbindung herstellen	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen	[{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}\|)]{error_message}	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Befehlszeile: '/usr/sbin/apache2'	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target.platform ist auf "LINUX" festgelegt „referenceer_url“ ist „network.http.referral_url“ zugeordnet.
/var/log/apache2/error.log	Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: Verweis 12515:Tid 140035781285632] AH01114, HTTP: Verweis 12515, Verbindung zu backend.com.91 fehlgeschlagen.	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?"	NETWORK_HTTP	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target_ip ist target.ip zugeordnet „referenceer_url“ ist „network.http.referral_url“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [Anfrage: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] [Info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8]core.c(4739): [client 192.0.2.1:50784/apache/docs nicht vorhanden/apache/docs nicht	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_level ist security_result.severity zugeordnet request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. error_message wird security_result.description zugeordnet file_path ist target.file.full_path zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/access.log	10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows Web NT 10.03 Safari, 10.010.10.0; 10.017.0; 10.017.96; 10.011.96.9.11.1"	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)?	NETWORK_HTTP	„client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. wird network.http.method zugeordnet. Ressource ist principal.resource.name zugeordnet "client_protocol" ist "network.application_protocol" zugeordnet. result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
var/log/apache2/other_vhosts_access.log	wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host ist target.hostname zugeordnet. target_port ist target.port zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. wird network.http.method zugeordnet. Ressource ist principal.resource.name zugeordnet result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt
/var/log/apache2/access.log	"http://192.0.2.1/test/erste.html" -> /altostrat.com	(<optional_field>{referer_url}?)->(<optional_field>{path}?)	GENERIC_EVENT	Pfad ist target.url zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	(<optionales_Feld>{user_agent})	GENERIC_EVENT	user_agent ist network.http.user_agent zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt
var/log/nginx/access.log	172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/Ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.30 (Windows NT 10.73 Safari, 10.61.7.0; 10.61/7.0, 10.61/10.11.17.1"	{principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	wird metadata.timestamp zugeordnet. IP-Adresse ist target.ip zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet metadata_timestamp ist dem Zeitstempel zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll ist network.application_protocol = (HTTP) zugeordnet. Antwortcode ist network.http.response_code zugeordnet. "empfangen_bytes" wird "network.sent_bytes" zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt.
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx1_status2.0.\"	"{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}" inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}\|[{target_ip}]):{target_port} failed ({security_description})", „\*{cid}{security_description}“, „{security_description}“	NETWORK_HTTP	Thread_id ist principal.process.pid zugeordnet. severity wird security_result.severity zugeordnet (Fehlerbehebung ist UNKNOWN_SEVERITY zugeordnet, Informationen sind INFORMATIONAL zugeordnet, Hinweis ist LOW zugeordnet, Warnung ist MEDIUM zugeordnet, Fehler ist ERROR zugeordnet, Kriterium ist KRITISCH zugeordnet, Benachrichtigung ist HIGH zugeordnet) target_file_full_path ist target.file.full_path zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet "target_hostname" wird "target.hostname" zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll "TCP" zugeordnet ist, target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. security_description + security_result_description_2 ist security_result.description zugeordnet. pid wird principal.process.parent_process.pid zugeordnet. network.application_protocol ist auf "HTTP" gesetzt Zeitstempel ist %{year}/%{day}/%{month} %{time} zugeordnet target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt.
var/log/rkhunter.log	[14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen	[<message_text>]{security_description}	STATUS_UPDATE	wird metadata.timestamp zugeordnet. „securtiy_description“ ist „security_result.description“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
var/log/rkhunter.log	[14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ]	[<message_text>] {security_description} {file_path}[{metadata_description}]	FILE_UNCATEGORIZED	metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
var/log/rkhunter.log	ossec: Dateigröße verringert (Inode blieb): '/var/log/rkhunter.log'.	(<optional_field><message_text>:){metadata_description}:'{file_path}'	FILE_UNCATEGORIZED	wird metadata.timestamp zugeordnet. metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
/var/log/kern.log	Jul 7 18:48:32 zynvpnsvr Beteiligten: [2081387.006876] IPv4: Mars-Quelle 1.20.32.39 von 192.0.2.1, auf dev as0t5	{timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid}	NETWORK_CONNECTION	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet target_ip ist „target.ip“ zugeordnet. „principal_ip“ ist „principal.ip“ zugeordnet target_user_userid ist „target.user.userid“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	25. Oktober, 10:10:51 localhost Kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operational="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752	{timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid}	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. file_path ist "principal.process.file" zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	28. Apr 12:41:35 localhost Kernel: [ 5079.912215] ctnetlink v0.93: Registrierung bei nfnetlink.	{timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description}	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	28.April 11:17:01 localhost Kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2,20 GHz (Familie: 0x6, Modell: 0x55, Stepping: 0x7)	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet „principal_asset_hardware_cpu_model“ ist „principal.asset.hardware.cpu_model“ zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt "cpu_model" ist "principal.asset.hardware.cpu_model" zugeordnet
/var/log/syslog.log	29. Januar 13:51:46 Winevt env[29194]: [29/Jan/2022:13:51:46] GET 200 /api/systems/0000-0041 (10.0.1.1) 3179	{collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes}	NETWORK_CONNECTION	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. http_method ist network.http.method zugeordnet. Antwortcode ist network.http.response_code zugeordnet. Ressource ist target.url zugeordnet. target_ip ist target.ip zugeordnet "empfangene Bytes" ist "network.received_bytes" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	26. Juli 23:13:03 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6	{collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird metadata.description zugeordnet. Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt target_ip ist target.ip zugeordnet
/var/log/syslog.log	26. Juli 23:13:03 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: INFO: Neue Verbindung von 3.4.5.6	{collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. log_level ist security_result.severity zugeordnet description wird security_result.description zugeordnet Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/syslog.log	29. Jan. 13:51:46 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: FEHLER: Ungültiger Agent-Name zsecmgr0000-0719 (dupliziert)	{collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason})	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. log_level ist security_result.severity zugeordnet Beschreibung und Grund sind security_result.description zugeordnet Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/syslog.log	2. Mai 06:25:01 localhost apachectl[64942]: AH00558: apache2: Der voll qualifizierte Domainname des Servers konnte mit ::1 nicht zuverlässig bestimmt werden. Anweisung „ServerName“ global festlegen, um diese Meldung zu unterdrücken	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	May 2 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 Byte) gekürzt	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	3. Mai 10:14:37 localhost rsyslogd: Die Nutzer-ID von rsyslogd wurde in 102 geändert.	{collected_timestamp}{hostname}{command_line}:{message}to{user_id}	STATUS_UPDATE	„collected_time“ ist metadata.collected_timestamp zugeordnet. Hostname wird principal.hostname zugeordnet Nachricht wird metadata.description zugeordnet. user_id ist principal.user.userid zugeordnet. Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/syslog.log	5. Mai 10:36:48 localhost systemd[1]: System-Logging-Dienst wird gestartet...	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/mail.log	16. März 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.21G6 Ubuntu.MTA4, Ubuntu.MTA4a.de	{timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV}	STATUS_UPDATE	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/mail.log	7. Apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/mail.log	7. Apr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01>	{timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}>	STATUS_UPDATE	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. "resource_name" ist "target.resource.name" zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/mail.log	7. Apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (Warteschlange aktiv)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/mail.log	7. April 13:44:01 prod postfix/smtp[23436]: Verbindung mit gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Netzwerk ist nicht erreichbar	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	STATUS_UPDATE	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/mail.log	7. Apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, Relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (an Posteingang gesendet)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap – Der Zugriff auf den Konfigurationsschlüssel „[filterNames]“ über die Punktschreibweise wurde verworfen und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen „config.getProperty(key, targetClass)“.	[{timestamp}]{severity}{summary}\-{security_description} , bei {command_line}${file_path}:<message_text>$	STATUS_UPDATE	Die Befehlszeile wird "target.process.command_line" zugeordnet. file_path wird "target.process.file.full_path" zugeordnet. Der Zeitstempel wird „metadata.event_timestamp“ severity wird „security_result.severity“ zugeordnet Zusammenfassung wird „security_result.summary“ zugeordnet security_description wird "security_result.description" zugeordnet metadata.product_name ist auf „OSSEC“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt
/var/log/auth.log	27. April 21:03:03 Ubuntu18 systemd-logind[836]: Sitzung 3080 entfernt.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGOUT	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet network_session_id ist "network.session_id" zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal.platform“ ist „LINUX“ zugeordnet if(removed_session) event_type ist auf USER_LOGOUT gesetzt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	28. Apr. 11:33:24 Ubuntu18 systemd-logind[836]: Neue Sitzung 3205 des Nutzerstamms.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet network_session_id ist "network.session_id" zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal.platform“ ist „LINUX“ zugeordnet „network.application_protocol“ ist „SSH“ zugeordnet if(new_session) event_type ist auf USER_LOGIN gesetzt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	28. April, 11:35:31 Ubuntu18 sshd[23573]: Akzeptiertes Passwort für Root von 10.0.1.1 Port 40503 ssh2	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal_ip“ ist „principal.ip“ zugeordnet „principal_port“ ist „principal.port“ zugeordnet security_result_detection_fields_ssh_kv ist "security_result.detection_fields.key/value" zugeordnet. security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	28. April 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failed; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root	{timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}\|{principal_user_userid})?)?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet „principal_user_uuserid“ ist „principal.user.attribute.labels“ zugeordnet „principal_user_attribute_labels_euid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal_ruser_userid“ ist „principal.user.attribute.labels.key/value“ zugeordnet target_ip ist „target.ip“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	Feb 24 00:13:02 accurate32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2}	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ ist „principal.hostname“ zugeordnet „principal_application“ ist „principal.application“ zugeordnet pid wird principal.process.pid zugeordnet. „principal_user_userid“ ist „target.user.userid“ zugeordnet. security_description wird "security_result.description" zugeordnet principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet. principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/auth.log	26. April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Nutzerstamm von (uid=0) geöffnet	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGIN	Der Zeitstempel ist metadata.timestamp zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	26. April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Nutzerstamm beendet	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGOUT	Der Zeitstempel ist metadata.timestamp zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
/var/log/auth.log	24. Mai 12:56:31 ip-10-50-2-176 sshd[119931]: Zeitüberschreitung, Client antwortet nicht.	{timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description}	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ ist „principal.hostname“ zugeordnet „principal_application“ ist „principal.application“ zugeordnet pid wird principal.process.pid zugeordnet. "security_result_description" ist "security_result_description" zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf OSSEC festgelegt metadata.product_name ist auf OSSEC festgelegt
var/log/samba/log.winbindd		{timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	STATUS_UPDATE	Der Zeitstempel wird „metadata.timestamp“ „pid“ wird „principal.process.pid“ zugeordnet. „principal_user_attribute_labels_kv“ ist „principal.user.attribute.labels“ zugeordnet „principal_group_attribute_labels_kv“ ist „principal.group.attribute.labels“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet „principal_group_product_object_id“ ist „principal.group.product_object_id“ zugeordnet security_description wird "security_result.description" zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.product_name ist auf „OSSEC“ festgelegt „metadata.vendor_name“ ist auf „OSSEC“ festgelegt
var/log/samba/log.winbindd	Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf Gerät	{user_id}: {desc}	STATUS_UPDATE	metadata.product_name ist auf „OSSEC“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt user_id ist principal.user.userid zugeordnet. desc ist metadata.description zugeordnet.
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.10.27.0>	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet „local_ip“ ist principal.ip zugeordnet target_ip ist target.ip zugeordnet target_hostname wird principal.hostname zugeordnet Port wird target.port zugeordnet. user wird principal.user.user_display_name zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Library-Versionen: OpenSSL 1.1.1, 11. September 2018, LZO 2.08	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet "msg" wird "security_result.description" zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer-Verbindung initiiert mit [AF.NET1.NET1.NET1.NET1.NET10.NET1.04.04.2022-04-29	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") Nachricht wird zugeordnet zu <message_text>with[<message_text>]<message_text>:{port}<message_text>	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout2#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGINation/10.50.0.1:16245 SENT CONTROL [mohit_AUTOify_top_delegieren]	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'\|")<message_text>{user}\/{ip}:{message}(<optionales_Feld>'\|")	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. user wird principal.user.user_display_name zugeordnet IP-Adresse ist principal.ip zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752'	{timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	STATUS_UPDATE	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. summary ist security_result.summary zugeordnet. user_name ist principal.user.user_display_name zugeordnet cli ist principal.process.command_line zugeordnet. Der Status wird principal.user.user_authentication_status zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/audit.log	type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update/success-success/"	type={audit_log_type}=audit((<optional_field>{metadata_ingested_timestamp}\|{metadata_ingested_timestamp})<message_text>:<message_text>):{audit_message}	EventType im Audit-Log für das aktuelle Tabellenblatt auf dem Tab „EventType-Zuordnung“	„audit_log_type“ ist „metadata.product_event_type“ zugeordnet metadata_ingested_timestamp ist "metadata.event_timestamp" zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.plateform“ ist auf „LINUX“ festgelegt Daten werden Schlüssel/Wert-Paar -> UDM-Zuordnung auf dem aktuellen Tabellenblatt-Tab „audit.log“ zugeordnet
var/ossec/logs/ossec.log	12.05.2022 18:15:34 ossec-syscheckd: INFO: Syscheck-Scan wird gestartet	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}	STATUS_UPDATE	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:34:27 ossec-logcollector: INFO: Monitoring full edition ofcommand(360): last -n 5	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.command.(<message_text>)):{command_line}	PROCESS_UNCATEGORIZED	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet Die Befehlszeile wird target.process.command_line zugeordnet. metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:34:27 ossec-analysisd(1210): FEHLER: Warteschlange '/queue/alerts/ar' nicht zugänglich: "Verbindung verweigert".	{timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}'	USER_RESOURCE_ACCESS	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. Ressource ist target.resource.name zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:34:27 ossec-logcollector(1950): INFO: analysis file: '/var/log/rundeck/rundeck.log'.	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}'	FILE_UNCATEGORIZED	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl'	{timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}'	SCAN_PROCESS	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf OSSEC festgelegt metadata.product_name ist auf OSSEC festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:21 ossec-remoted(1410): INFO: Datei mit Authentifizierungsschlüsseln wird gelesen.	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}	STATUS_UPDATE	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	2022/05/11 19:34:21 ossec-remoted(1103): FEHLER: Datei „/queue/rids/004“ konnte aufgrund von [(13)-(Berechtigung verweigert)] nicht geöffnet werden.	{timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})]	FILE_UNCATEGORIZED	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata_description ist metadata.description zugeordnet. „error_code“ ist security_result.summary zugeordnet error_metadata_description ist security_result.summary zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	23.03.2022 13:00:51 ossec-remoted(1206): FEHLER: Port „1514“ kann nicht verknüpft werden	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}'	STATUS_UPDATE	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. Port wird target.port zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:32:05 ossec-analysisd: INFO: Regeldatei wird gelesen: „ms-se_rules.xml“	{timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}'	FILE_READ	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
var/ossec/logs/ossec.log	11.05.2022 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab'	{timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring\|Ignoring file)<message_text>:'{file_path}'	FILE_UNCATEGORIZED	Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt
ntpd-Prozess	udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd	{protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name}	STATUS_UPDATE	wird network.ip_protocol zugeordnet. pid wird principal.process.pid zugeordnet. metadata.description ist auf Programmname festgelegt: %{process_name} metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
Syscheck	Datei „/usr/bin/fwts“ geändert	Datei „{file_path}“ {description}	FILE_MODIFICATION	description wird metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt

Prüfen

Audit-Log-Felder zu UDM-Feldern

In der folgenden Tabelle sind die Logfelder des Audit-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.

Logfeld	UDM-Feld
acct	target.user.user_display_name
addr	principal.ip
arch	about.labels.key/value
Auid	target.user.userid
Logo: cgroup	principal.process.file.full_path
cmd	target.process.command_line
comm	target.application
CWD	target.file.full_path
data	about.labels.key/value
Devmajor	about.labels.key/value
Devminor	about.labels.key/value
Egid	target.group.product_object_id
Euid	target.user.userid
exe	target.process.file.full_path
exit	target.labels.key/value
Familie	network.ip_protocol ist auf "IP6IN4" gesetzt, wenn "ip_protocol" == 2, andernfalls ist es auf "UNKNOWN_IP_PROTOCOL" gesetzt
Dateityp	target.file.mime_type
fsgid	target.group.product_object_id
Fsuid	target.user.userid
gid	target.group.product_object_id
Hostname	target.hostname
IMP-Typ	network.ip_protocol ist auf "ICMP" festgelegt
id	Wenn [audit_log_type] == "ADD_USER", wird target.user.userid auf "%{id}" festgelegt Wenn [audit_log_type] == "ADD_GROUP", ist target.group.product_object_id auf "%{id}" festgelegt else target.user.attribute.labels.key/value ist auf id festgelegt
Inode	target.resource.product_object_id
Schlüssel	security_result.detection_fields.key/value
list	security_result.about.labels.key/value
Modus	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
name	target.file.full_path
new-disk	target.resource.name
new-mem	target.resource.attribute.labels.key/value
Neue CPU	target.resource.attribute.labels.key/value
New-Netz	pincipal.mac
new_gid	target.group.product_object_id
Oauid	target.user.userid
Ocomm	target.process.command_line
Opid	target.process.pid
OSS	network.session_id
Ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
Ogid	target.group.product_object_id
Ouid	target.user.userid
Pfad	target.file.full_path
Dauer	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
proto	Wenn [ip_protocol] == 2, ist network.ip_protocol auf "IP6IN4" eingestellt. else network.ip_protocol ist auf "UNKNOWN_IP_PROTOCOL" festgelegt
res	security_result.summary
Ergebnis	security_result.summary
Trauriger	security_result.detection_fields.key/value
Sauid	target.user.attribute.labels.key/value
ses	network.session_id
sgid	target.group.product_object_id
sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
Erfolgreich	Wenn „success=='yes'“, „securtiy_result.summary“ auf „Systemaufruf war erfolgreich“ festgelegt ist else „securtiy_result.summary“ ist auf „systemcall was failed“ gesetzt
Suid	target.user.userid
Syscall	about.labels.key/value
Terminal	target.labels.key/value
tty	target.labels.key/value
uid	Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_id, DEL_USER_LOAD_POLICY] auf USER_USER_CMD, USER_CMD, USER_CMD sonst ist uid auf target.user.userid festgelegt.
vm	target.resource.name

Audit-Logtypen zum UDM-Ereignistyp

In der folgenden Tabelle sind die Audit-Logtypen und die zugehörigen UDM-Ereignistypen aufgeführt.

Audit-Log-Typ	UDM-Ereignistyp	Beschreibung
ADD_GROUP	GROUP_CREATION	Wird ausgelöst, wenn eine Gruppe für den Nutzerbereich hinzugefügt wird.
ADD_USER	USER_CREATION	Wird ausgelöst, wenn ein Nutzerkonto für den Nutzerbereich hinzugefügt wird.
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	Wird ausgelöst, wenn ein Prozess ungewöhnlich endet (mit einem Signal, das, sofern aktiviert, einen Core Dump verursachen könnte)
AVC	GENERIC_EVENT	Wird zum Aufzeichnen einer SELinux-Berechtigungsprüfung ausgelöst.
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn die Systemkonfiguration des Audits geändert wird.
CRED_ACQ	USER_LOGIN	Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft.
CRED_DISP	USER_LOGOUT	Wird ausgelöst, wenn ein Nutzer Nutzerbereich-Anmeldedaten löscht.
CRED_REFR	USER_LOGIN	Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert.
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	Wird zum Aufzeichnen der kryptografischen Schlüssel-ID für kryptografische Zwecke ausgelöst.
CRYPTO_SESSION	PROCESS_TERMINATION	Wird ausgelöst, um Parameter zu erfassen, die während des Aufbaus einer TLS-Sitzung festgelegt wurden.
CWD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen.
DAEMON_ABORT	PROCESS_TERMINATION	Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird.
DAEMON_END	PROCESS_TERMINATION	Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde.
DAEMON_RESUME	PROCESS_UNCATEGORIZED	Wird ausgelöst, wenn der Auditd-Daemon das Logging fortsetzt.
DAEMON_ROTATE	PROCESS_UNCATEGORIZED	Wird ausgelöst, wenn der Auditd-Daemon die Audit-Logdateien rotiert.
DAEMON_START	PROCESS_LAUNCH	Wird beim Starten des Auditd-Daemons ausgelöst.
DEL_GROUP	GROUP_DELETION	Wird ausgelöst, wenn eine Nutzerbereichsgruppe gelöscht wird
Ausstehend	USER_DELETION	Wird ausgelöst, wenn ein Nutzer im User-Bereich gelöscht wird
EXECVE	PROCESS_LAUNCH	Wird ausgelöst, um Argumente des execve(2)-Systemaufrufs aufzuzeichnen.
MAC_CONFIG_CHANGE	GENERIC_EVENT	Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird.
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein IPSec-Ereignis erkannt wird oder sich die IPSec-Konfiguration ändert.
MAC_POLICY_LOAD	GENERIC_EVENT	Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird.
MAC_STATUS	GENERIC_EVENT	Wird ausgelöst, wenn der SELinux-Modus (erzwingend, moderat, aus) geändert wird.
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, wenn bei Verwendung der Paket-Labeling-Funktionen des von NetLabel bereitgestellten Kernels ein statisches Label hinzugefügt wird.
NETFILTER_CFG	GENERIC_EVENT	Wird ausgelöst, wenn Änderungen an Netfilter-Ketten erkannt werden.
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um Informationen über einen Prozess aufzuzeichnen, an den ein Signal gesendet wird.
PATH	FILE_OPEN/GENERISCHES_EVENT	Wird zum Aufzeichnen von Dateinamenpfadinformationen ausgelöst.
SELINUX_ERR	GENERIC_EVENT	Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird.
SERVICE_START	SERVICE_START	Wird ausgelöst, wenn ein Dienst gestartet wird
SERVICE_STOP	SERVICE_STOP	Wird ausgelöst, wenn ein Dienst beendet wird
SYSCALL	GENERIC_EVENT	Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen.
SYSTEM_BOOT	STATUS_STARTUP	Wird beim Hochfahren des Systems ausgelöst.
SYSTEM_RUNLEVEL	STATUS_UPDATE	Wird ausgelöst, wenn sich der Runlevel des Systems ändert.
SYSTEM_SHUTDOWN	STATUS_SHUTDOWN	Wird ausgelöst, wenn das System heruntergefahren wird
USER_ACCT	SETTING_MODIFICATION	Wird ausgelöst, wenn ein Nutzerkonto für einen Nutzerbereich geändert wird.
USER_AUTH	USER_LOGIN	Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird.
USER_AVC	USER_UNCATEGORIZED	Wird ausgelöst, wenn eine AVC-Nachricht für den Nutzerbereich generiert wird.
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn ein Attribut eines Nutzerkontos geändert wird.
USER_CMD	USER_COMMUNICATION	Wird ausgelöst, wenn ein Shell-Befehl für den Nutzerbereich ausgeführt wird.
USER_END	USER_LOGOUT	Wird ausgelöst, wenn eine User-Bereich-Sitzung beendet wird.
USER_ERR	USER_UNCATEGORIZED	Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird.
USER_LOGIN	USER_LOGIN	Wird ausgelöst, wenn sich ein Nutzer anmeldet
USER_LOGOUT	USER_LOGOUT	Wird ausgelöst, wenn sich ein Nutzer abmeldet.
USER_MAC_POLICY_LOAD	RESOURCE_READ	Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt.
USER_MGMT	USER_UNCATEGORIZED	Wird zum Aufzeichnen von Daten zur Verwaltung von Nutzerbereichen ausgelöst.
USER_ROLE_CHANGE	USER_CHANGE_PERMISSIONS	Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird.
USER_START	USER_LOGIN	Wird ausgelöst, wenn eine Nutzerbereichssitzung gestartet wird.
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn eine Änderung der Systemkonfiguration für den Nutzerbereich erkannt wird.
VIRT_CONTROL	STATUS_UPDATE	Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird.
VIRT_MACHINE_ID	USER_RESOURCE_ACCESS	Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen.
VIRT_RESOURCE	USER_RESOURCE_ACCESS	Wird zum Aufzeichnen der Ressourcenzuweisung einer virtuellen Maschine ausgelöst.

E-Mail

Logfelder an UDM-Felder senden

In der folgenden Tabelle sind die Logfelder des E-Mail-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.

Logfeld	UDM-Feld
Klasse	about.labels.key/value
Ctladdr	principal.user.user_display_name
Von	network.email.from
MS-GID	network.email.mail_id
Proto	network.application_protocol
Relay	intermediary.hostname intermediary.ip
Größe	network.received_bytes
Statistik	security_result.summary
bis	network.email.to

E-Mail-Protokolltypen an UDM-Ereignistyp

In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.

E-Mail-Logtyp	UDM-Ereignistyp
sendmail	GENERIC_EVENT
Abholung	EMAIL_UNCATEGORIZED
cleanup	GENERIC_EVENT
Qualitätsmanagement	EMAIL_UNCATEGORIZED
smtp	GENERIC_EVENT
lokal	EMAIL_UNCATEGORIZED

Nächste Schritte

Datenaufnahme in Google Security Operations