OSSEC-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie OSSEC-Logs erfassen können, indem Sie OSSEC und einen Google Security Operations-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Logtypen und die unterstützte OSSEC-Version aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Überblick
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie OSSEC-Agents und -Server so konfiguriert sind, dass Logs an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem OSSEC-Agent.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, in dem der OSSEC-Agent installiert ist.
OSSEC-Agent: Der OSSEC-Agent erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den OSSEC-Server weiter.
OSSEC-Server. Der OSSEC-Server überwacht und empfängt Informationen von den OSSEC-Agents, analysiert die Logs und leitet sie an den Google Security Operations-Forwarder weiter.
Google Security Operations-Forwarder. Die Google Security Operations-Weiterleitung ist eine einfache Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog unterstützt. Der Google Security Operations-Forwarder leitet die Protokolle an Google Security Operations weiter.
Google Security Operations Google Security Operations speichert und analysiert die Logs vom OSSEC-Server.
Ein Aufnahmelabel gibt den Parser an, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel OSSEC
.
Hinweise
Achten Sie darauf, dass der OSSEC-Agent auf den Microsoft Windows- oder Linux-Systemen installiert ist, die Sie überwachen möchten. Weitere Informationen zum Installieren des OSSEC-Agents finden Sie unter OSSEC-Installation.
Verwenden Sie eine OSSEC-Version, die vom Google Security Operations-Parser unterstützt wird. Der Google Security Operations-Parser unterstützt OSSEC-Version 3.6.0.
Achten Sie darauf, dass der OSSEC-Server auf dem zentralen Linux-Server installiert und konfiguriert ist.
Prüfen Sie die Logtypen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die vom Google Security Operations-Parser unterstützten Produkte und Protokolldateipfade aufgeführt:
Betriebssystem Produkt Protokolldateipfad Microsoft Windows Microsoft Windows Ereignisprotokolle Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux – OSSEC-Server OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
OSSEC-Agent und -Server sowie Google Security Operations-Forwarder konfigurieren
So konfigurieren Sie den OSSEC-Agent und -Server sowie die Google Security Operations-Weiterleitung:
Zum Überwachen der von den Linux-Systemen generierten Logs erstellen Sie eine
ossec.conf
-Datei, um die Log-Monitoring-Konfiguration für den Agent anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Linux-System:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>
Zum Überwachen der von den Microsoft Windows-Systemen generierten Logs erstellen Sie eine
ossec.conf
-Datei, um die Logmonitoring-Konfiguration für den Agent anzugeben. Hier ist eine Beispielkonfigurationsdatei für den Agent auf dem Microsoft Windows-System:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>
Zum Weiterleiten der Logs vom OSSEC-Server an Google Security Operations mithilfe des Syslog-Protokolls erstellen Sie die OSSEC-Serverkonfigurationsdatei
syslog.conf
im folgenden Format:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Feldzuordnungsreferenz
In diesem Abschnitt wird erläutert, wie der Google Security Operations-Parser Grok-Muster für Linux- und Microsoft Windows-Systeme anwendet und wie er OSSEC-Logfelder den Feldern des Google Security Operations Unified Data Model (UDM) für jeden Logtyp zuordnet.
Informationen zur Zuordnungsreferenz für allgemeine Felder finden Sie unter Allgemeine Felder.
Referenzinformationen zu Logpfaden, Grok-Muster für Beispiellogs, Ereignistypen und UDM-Felder auf Linux-Systemen finden Sie in den folgenden Abschnitten:
Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.
Allgemeine Felder
In der folgenden Tabelle sind die allgemeinen Logfelder und die zugehörigen UDM-Felder aufgeführt.
Gemeinsames Logfeld | UDM-Feld |
---|---|
collected_time | metadata.collected_timestamp |
Anwendung | principal.application |
log | metadata.description |
ip | target.ip oder principal.ip |
Hostname | target.hostname oder principal.hostname |
Linux-System
Die folgende Tabelle enthält die Logpfade für das Linux-System sowie das Grok-Muster für Beispiellogs, den Ereignistyp und die UDM-Zuordnungen:
Logpfad | Beispiellog | Grok-Muster | Ereignistyp | UDM-Zuordnung |
---|---|---|---|---|
/var/log/apache2/error.log | [Do, 28. April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] konnte keine Verbindung herstellen | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/error.log | [Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/error.log | [Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Befehlszeile: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target.platform ist auf "LINUX" festgelegt „referenceer_url“ ist „network.http.referral_url“ zugeordnet. |
/var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: Verweis 12515:Tid 140035781285632] AH01114, HTTP: Verweis 12515, Verbindung zu backend.com.91 fehlgeschlagen. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target_ip ist target.ip zugeordnet „referenceer_url“ ist „network.http.referral_url“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [Anfrage: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [Info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8]core.c(4739): [client 192.0.2.1:50784/apache/docs nicht vorhanden/apache/docs nicht | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_level ist security_result.severity zugeordnet request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. error_message wird security_result.description zugeordnet file_path ist target.file.full_path zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows Web NT 10.03 Safari, 10.010.10.0; 10.017.0; 10.017.96; 10.011.96.9.11.1" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. wird network.http.method zugeordnet. Ressource ist principal.resource.name zugeordnet "client_protocol" ist "network.application_protocol" zugeordnet. result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
var/log/apache2/other_vhosts_access.log | wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host ist target.hostname zugeordnet. target_port ist target.port zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. wird network.http.method zugeordnet. Ressource ist principal.resource.name zugeordnet result_status ist network.http.response_code zugeordnet. „object_size“ ist network.sent_bytes zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt |
/var/log/apache2/access.log | "http://192.0.2.1/test/erste.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | Pfad ist target.url zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
/var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optionales_Feld>{user_agent}) | GENERIC_EVENT | user_agent ist network.http.user_agent zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt |
var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/Ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.30 (Windows NT 10.73 Safari, 10.61.7.0; 10.61/7.0, 10.61/10.11.17.1" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | wird metadata.timestamp zugeordnet. IP-Adresse ist target.ip zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet metadata_timestamp ist dem Zeitstempel zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll ist network.application_protocol = (HTTP) zugeordnet. Antwortcode ist network.http.response_code zugeordnet. "empfangen_bytes" wird "network.sent_bytes" zugeordnet. „referenceer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. |
var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx1_status2.0.\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", „\*{cid}{security_description}“, „{security_description}“ |
NETWORK_HTTP | Thread_id ist principal.process.pid zugeordnet. severity wird security_result.severity zugeordnet (Fehlerbehebung ist UNKNOWN_SEVERITY zugeordnet, Informationen sind INFORMATIONAL zugeordnet, Hinweis ist LOW zugeordnet, Warnung ist MEDIUM zugeordnet, Fehler ist ERROR zugeordnet, Kriterium ist KRITISCH zugeordnet, Benachrichtigung ist HIGH zugeordnet) target_file_full_path ist target.file.full_path zugeordnet „principal_ip“ ist „principal.ip“ zugeordnet "target_hostname" wird "target.hostname" zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll "TCP" zugeordnet ist, target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. security_description + security_result_description_2 ist security_result.description zugeordnet. pid wird principal.process.parent_process.pid zugeordnet. network.application_protocol ist auf "HTTP" gesetzt Zeitstempel ist %{year}/%{day}/%{month} %{time} zugeordnet target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf "NGINX" festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. |
var/log/rkhunter.log | [14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen | [<message_text>]{security_description} | STATUS_UPDATE | wird metadata.timestamp zugeordnet. „securtiy_description“ ist „security_result.description“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
var/log/rkhunter.log | [14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
var/log/rkhunter.log | ossec: Dateigröße verringert (Inode blieb): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | wird metadata.timestamp zugeordnet. metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt |
/var/log/kern.log | Jul 7 18:48:32 zynvpnsvr Beteiligten: [2081387.006876] IPv4: Mars-Quelle 1.20.32.39 von 192.0.2.1, auf dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet target_ip ist „target.ip“ zugeordnet. „principal_ip“ ist „principal.ip“ zugeordnet target_user_userid ist „target.user.userid“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/kern.log | 25. Oktober, 10:10:51 localhost Kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operational="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. file_path ist "principal.process.file" zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/kern.log | 28. Apr 12:41:35 localhost Kernel: [ 5079.912215] ctnetlink v0.93: Registrierung bei nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/kern.log | 28.April 11:17:01 localhost Kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2,20 GHz (Familie: 0x6, Modell: 0x55, Stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | Der Zeitstempel wird „metadata.event_timestamp“ „principal_hostname“ wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet „principal_asset_hardware_cpu_model“ ist „principal.asset.hardware.cpu_model“ zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt "cpu_model" ist "principal.asset.hardware.cpu_model" zugeordnet |
/var/log/syslog.log | 29. Januar 13:51:46 Winevt env[29194]: [29/Jan/2022:13:51:46] GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. http_method ist network.http.method zugeordnet. Antwortcode ist network.http.response_code zugeordnet. Ressource ist target.url zugeordnet. target_ip ist target.ip zugeordnet "empfangene Bytes" ist "network.received_bytes" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet. |
/var/log/syslog.log | 26. Juli 23:13:03 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird metadata.description zugeordnet. Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt target_ip ist target.ip zugeordnet |
/var/log/syslog.log | 26. Juli 23:13:03 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: INFO: Neue Verbindung von 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. log_level ist security_result.severity zugeordnet description wird security_result.description zugeordnet Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/syslog.log | 29. Jan. 13:51:46 zynossec ossec-authd[1096]: 26.07.2021 23:13:03 ossec-authd: FEHLER: Ungültiger Agent-Name zsecmgr0000-0719 (dupliziert) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. log_level ist security_result.severity zugeordnet Beschreibung und Grund sind security_result.description zugeordnet Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/syslog.log | 2. Mai 06:25:01 localhost apachectl[64942]: AH00558: apache2: Der voll qualifizierte Domainname des Servers konnte mit ::1 nicht zuverlässig bestimmt werden. Anweisung „ServerName“ global festlegen, um diese Meldung zu unterdrücken | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet. |
/var/log/syslog.log | May 2 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 Byte) gekürzt | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet. |
/var/log/syslog.log | 3. Mai 10:14:37 localhost rsyslogd: Die Nutzer-ID von rsyslogd wurde in 102 geändert. | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | „collected_time“ ist metadata.collected_timestamp zugeordnet. Hostname wird principal.hostname zugeordnet Nachricht wird metadata.description zugeordnet. user_id ist principal.user.userid zugeordnet. Die Befehlszeile wird principal.process.command_line zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/syslog.log | 5. Mai 10:36:48 localhost systemd[1]: System-Logging-Dienst wird gestartet... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | „collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. Nachricht wird metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet. |
/var/log/mail.log | 16. März 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.21G6 Ubuntu.MTA4, Ubuntu.MTA4a.de | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/mail.log | 7. Apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/mail.log | 7. Apr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. "resource_name" ist "target.resource.name" zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/mail.log | 7. Apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (Warteschlange aktiv) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/mail.log | 7. April 13:44:01 prod postfix/smtp[23436]: Verbindung mit gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Netzwerk ist nicht erreichbar | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/mail.log | 7. Apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, Relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (an Posteingang gesendet) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | "target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap – Der Zugriff auf den Konfigurationsschlüssel „[filterNames]“ über die Punktschreibweise wurde verworfen und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen „config.getProperty(key, targetClass)“. | [{timestamp}]{severity}{summary}\-{security_description}
, bei {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | Die Befehlszeile wird "target.process.command_line" zugeordnet. file_path wird "target.process.file.full_path" zugeordnet. Der Zeitstempel wird „metadata.event_timestamp“ severity wird „security_result.severity“ zugeordnet Zusammenfassung wird „security_result.summary“ zugeordnet security_description wird "security_result.description" zugeordnet metadata.product_name ist auf „OSSEC“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt |
/var/log/auth.log | 27. April 21:03:03 Ubuntu18 systemd-logind[836]: Sitzung 3080 entfernt. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet network_session_id ist "network.session_id" zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal.platform“ ist „LINUX“ zugeordnet if(removed_session) event_type ist auf USER_LOGOUT gesetzt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/auth.log | 28. Apr. 11:33:24 Ubuntu18 systemd-logind[836]: Neue Sitzung 3205 des Nutzerstamms. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet network_session_id ist "network.session_id" zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal.platform“ ist „LINUX“ zugeordnet „network.application_protocol“ ist „SSH“ zugeordnet if(new_session) event_type ist auf USER_LOGIN gesetzt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/auth.log | 28. April, 11:35:31 Ubuntu18 sshd[23573]: Akzeptiertes Passwort für Root von 10.0.1.1 Port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal_ip“ ist „principal.ip“ zugeordnet „principal_port“ ist „principal.port“ zugeordnet security_result_detection_fields_ssh_kv ist "security_result.detection_fields.key/value" zugeordnet. security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/auth.log | 28. April 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failed; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | Der Zeitstempel wird „metadata.timestamp“ Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet „principal_user_uuserid“ ist „principal.user.attribute.labels“ zugeordnet „principal_user_attribute_labels_euid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal_ruser_userid“ ist „principal.user.attribute.labels.key/value“ zugeordnet target_ip ist „target.ip“ zugeordnet. Wenn „metadata.event_type“ den Wert „USER_LOGOUT“ hat, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/auth.log | Feb 24 00:13:02 accurate32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ ist „principal.hostname“ zugeordnet „principal_application“ ist „principal.application“ zugeordnet pid wird principal.process.pid zugeordnet. „principal_user_userid“ ist „target.user.userid“ zugeordnet. security_description wird "security_result.description" zugeordnet principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet. principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/auth.log | 26. April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Nutzerstamm von (uid=0) geöffnet | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | Der Zeitstempel ist metadata.timestamp zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „network.application_protocol“ ist auf „SSH“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/auth.log | 26. April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): Sitzung für Nutzerstamm beendet | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | Der Zeitstempel ist metadata.timestamp zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_hostname“ „target.hostname“ und „principal.hostname“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_application“ „target.application“ und „principal.application“ zugeordnet. Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „pid“ „target.process.pid“ zugeordnet, andernfalls „principal.process.pid“. security_description wird "security_result.description" zugeordnet Wenn „metadata.event_type“ auf USER_LOGOUT gesetzt ist, wird „principal_user_userid“ „principal.user.userid“ zugeordnet, andernfalls „target.user.userid“. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
/var/log/auth.log | 24. Mai 12:56:31 ip-10-50-2-176 sshd[119931]: Zeitüberschreitung, Client antwortet nicht. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ ist „principal.hostname“ zugeordnet „principal_application“ ist „principal.application“ zugeordnet pid wird principal.process.pid zugeordnet. "security_result_description" ist "security_result_description" zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt metadata.vendor_name auf OSSEC festgelegt metadata.product_name ist auf OSSEC festgelegt |
var/log/samba/log.winbindd | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | Der Zeitstempel wird „metadata.timestamp“ „pid“ wird „principal.process.pid“ zugeordnet. „principal_user_attribute_labels_kv“ ist „principal.user.attribute.labels“ zugeordnet „principal_group_attribute_labels_kv“ ist „principal.group.attribute.labels“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet „principal_group_product_object_id“ ist „principal.group.product_object_id“ zugeordnet security_description wird "security_result.description" zugeordnet metadata_description wird "metadata.description" zugeordnet. metadata.product_name ist auf „OSSEC“ festgelegt „metadata.vendor_name“ ist auf „OSSEC“ festgelegt |
|
var/log/samba/log.winbindd | Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf Gerät | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name ist auf „OSSEC“ festgelegt metadata.vendor_name auf "OSSEC" festgelegt user_id ist principal.user.userid zugeordnet. desc ist metadata.description zugeordnet. |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.10.27.0> | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet „local_ip“ ist principal.ip zugeordnet target_ip ist target.ip zugeordnet target_hostname wird principal.hostname zugeordnet Port wird target.port zugeordnet. user wird principal.user.user_display_name zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Library-Versionen: OpenSSL 1.1.1, 11. September 2018, LZO 2.08 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet "msg" wird "security_result.description" zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer-Verbindung initiiert mit [AF.NET1.NET1.NET1.NET1.NET10.NET1.04.04.2022-04-29 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
Nachricht wird zugeordnet zu <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout2#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGINation/10.50.0.1:16245 SENT CONTROL [mohit_AUTOify_top_delegieren] | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'|")<message_text>{user}\/{ip}:{message}(<optionales_Feld>'|") | STATUS_UPDATE | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. user wird principal.user.user_display_name zugeordnet IP-Adresse ist principal.ip zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird security_result.description zugeordnet. summary ist security_result.summary zugeordnet. user_name ist principal.user.user_display_name zugeordnet cli ist principal.process.command_line zugeordnet. Der Status wird principal.user.user_authentication_status zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name auf „OpenVPN Access Server“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
/var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update/success-success/" | type={audit_log_type} |
EventType im Audit-Log für das aktuelle Tabellenblatt auf dem Tab „EventType-Zuordnung“ | „audit_log_type“ ist „metadata.product_event_type“ zugeordnet metadata_ingested_timestamp ist "metadata.event_timestamp" zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.plateform“ ist auf „LINUX“ festgelegt Daten werden Schlüssel/Wert-Paar -> UDM-Zuordnung auf dem aktuellen Tabellenblatt-Tab „audit.log“ zugeordnet |
var/ossec/logs/ossec.log | 12.05.2022 18:15:34 ossec-syscheckd: INFO: Syscheck-Scan wird gestartet | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 11.05.2022 19:34:27 ossec-logcollector: INFO: Monitoring full edition ofcommand(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet Die Befehlszeile wird target.process.command_line zugeordnet. metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 11.05.2022 19:34:27 ossec-analysisd(1210): FEHLER: Warteschlange '/queue/alerts/ar' nicht zugänglich: "Verbindung verweigert". | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. Ressource ist target.resource.name zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 11.05.2022 19:34:27 ossec-logcollector(1950): INFO: analysis file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 11.05.2022 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf OSSEC festgelegt metadata.product_name ist auf OSSEC festgelegt |
var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Datei mit Authentifizierungsschlüsseln wird gelesen. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): FEHLER: Datei „/queue/rids/004“ konnte aufgrund von [(13)-(Berechtigung verweigert)] nicht geöffnet werden. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata_description ist metadata.description zugeordnet. „error_code“ ist security_result.summary zugeordnet error_metadata_description ist security_result.summary zugeordnet metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 23.03.2022 13:00:51 ossec-remoted(1206): FEHLER: Port „1514“ kann nicht verknüpft werden | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. Port wird target.port zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 11.05.2022 19:32:05 ossec-analysisd: INFO: Regeldatei wird gelesen: „ms-se_rules.xml“ | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
var/ossec/logs/ossec.log | 11.05.2022 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | Anwendung ist target.application zugeordnet. "pid" wird "target.process.pid" zugeordnet. severity wird security_result.severity zugeordnet file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt |
ntpd-Prozess | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | wird network.ip_protocol zugeordnet. pid wird principal.process.pid zugeordnet. metadata.description ist auf Programmname festgelegt: %{process_name} metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
Syscheck | Datei „/usr/bin/fwts“ geändert | Datei „{file_path}“ {description} | FILE_MODIFICATION | description wird metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. metadata.vendor_name auf "OSSEC" festgelegt metadata.product_name ist auf „OSSEC“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt |
Prüfen
Audit-Log-Felder zu UDM-Feldern
In der folgenden Tabelle sind die Logfelder des Audit-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.
Logfeld | UDM-Feld |
---|---|
acct | target.user.user_display_name |
addr | principal.ip |
arch | about.labels.key/value |
Auid | target.user.userid |
Logo: cgroup | principal.process.file.full_path |
cmd | target.process.command_line |
comm | target.application |
CWD | target.file.full_path |
data | about.labels.key/value |
Devmajor | about.labels.key/value |
Devminor | about.labels.key/value |
Egid | target.group.product_object_id |
Euid | target.user.userid |
exe | target.process.file.full_path |
exit | target.labels.key/value |
Familie | network.ip_protocol ist auf "IP6IN4" gesetzt, wenn "ip_protocol" == 2, andernfalls ist es auf "UNKNOWN_IP_PROTOCOL" gesetzt |
Dateityp | target.file.mime_type |
fsgid | target.group.product_object_id |
Fsuid | target.user.userid |
gid | target.group.product_object_id |
Hostname | target.hostname |
IMP-Typ | network.ip_protocol ist auf "ICMP" festgelegt |
id | Wenn [audit_log_type] == "ADD_USER", wird target.user.userid auf "%{id}" festgelegt
Wenn [audit_log_type] == "ADD_GROUP", ist target.group.product_object_id auf "%{id}" festgelegt else target.user.attribute.labels.key/value ist auf id festgelegt |
Inode | target.resource.product_object_id |
Schlüssel | security_result.detection_fields.key/value |
list | security_result.about.labels.key/value |
Modus | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
name | target.file.full_path |
new-disk | target.resource.name |
new-mem | target.resource.attribute.labels.key/value |
Neue CPU | target.resource.attribute.labels.key/value |
New-Netz | pincipal.mac |
new_gid | target.group.product_object_id |
Oauid | target.user.userid |
Ocomm | target.process.command_line |
Opid | target.process.pid |
OSS | network.session_id |
Ouid | target.user.userid |
obj_gid | target.group.product_object_id |
obj_role | target.user.attribute.role.name |
obj_uid | target.user.userid |
obj_user | target.user.user_display_name |
Ogid | target.group.product_object_id |
Ouid | target.user.userid |
Pfad | target.file.full_path |
Dauer | target.asset.attribute.permissions.name |
pid | target.process.pid |
ppid | target.parent_process.pid |
proto | Wenn [ip_protocol] == 2, ist network.ip_protocol auf "IP6IN4" eingestellt.
else network.ip_protocol ist auf "UNKNOWN_IP_PROTOCOL" festgelegt |
res | security_result.summary |
Ergebnis | security_result.summary |
Trauriger | security_result.detection_fields.key/value |
Sauid | target.user.attribute.labels.key/value |
ses | network.session_id |
sgid | target.group.product_object_id |
sig | security_result.detection_fields.key/value |
subj_user | target.user.user_display_name |
Erfolgreich | Wenn „success=='yes'“, „securtiy_result.summary“ auf „Systemaufruf war erfolgreich“ festgelegt ist
else „securtiy_result.summary“ ist auf „systemcall was failed“ gesetzt |
Suid | target.user.userid |
Syscall | about.labels.key/value |
Terminal | target.labels.key/value |
tty | target.labels.key/value |
uid | Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_id, DEL_USER_LOAD_POLICY] auf USER_USER_CMD, USER_CMD, USER_CMD
sonst ist uid auf target.user.userid festgelegt. |
vm | target.resource.name |
Audit-Logtypen zum UDM-Ereignistyp
In der folgenden Tabelle sind die Audit-Logtypen und die zugehörigen UDM-Ereignistypen aufgeführt.
Audit-Log-Typ | UDM-Ereignistyp | Beschreibung |
---|---|---|
ADD_GROUP | GROUP_CREATION | Wird ausgelöst, wenn eine Gruppe für den Nutzerbereich hinzugefügt wird. |
ADD_USER | USER_CREATION | Wird ausgelöst, wenn ein Nutzerkonto für den Nutzerbereich hinzugefügt wird. |
ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Wird ausgelöst, wenn ein Prozess ungewöhnlich endet (mit einem Signal, das, sofern aktiviert, einen Core Dump verursachen könnte) |
AVC | GENERIC_EVENT | Wird zum Aufzeichnen einer SELinux-Berechtigungsprüfung ausgelöst. |
CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn die Systemkonfiguration des Audits geändert wird. |
CRED_ACQ | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft. |
CRED_DISP | USER_LOGOUT | Wird ausgelöst, wenn ein Nutzer Nutzerbereich-Anmeldedaten löscht. |
CRED_REFR | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert. |
CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Wird zum Aufzeichnen der kryptografischen Schlüssel-ID für kryptografische Zwecke ausgelöst. |
CRYPTO_SESSION | PROCESS_TERMINATION | Wird ausgelöst, um Parameter zu erfassen, die während des Aufbaus einer TLS-Sitzung festgelegt wurden. |
CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen. |
DAEMON_ABORT | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird. |
DAEMON_END | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde. |
DAEMON_RESUME | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der Auditd-Daemon das Logging fortsetzt. |
DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der Auditd-Daemon die Audit-Logdateien rotiert. |
DAEMON_START | PROCESS_LAUNCH | Wird beim Starten des Auditd-Daemons ausgelöst. |
DEL_GROUP | GROUP_DELETION | Wird ausgelöst, wenn eine Nutzerbereichsgruppe gelöscht wird |
Ausstehend | USER_DELETION | Wird ausgelöst, wenn ein Nutzer im User-Bereich gelöscht wird |
EXECVE | PROCESS_LAUNCH | Wird ausgelöst, um Argumente des execve(2)-Systemaufrufs aufzuzeichnen. |
MAC_CONFIG_CHANGE | GENERIC_EVENT | Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird. |
MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein IPSec-Ereignis erkannt wird oder sich die IPSec-Konfiguration ändert. |
MAC_POLICY_LOAD | GENERIC_EVENT | Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird. |
MAC_STATUS | GENERIC_EVENT | Wird ausgelöst, wenn der SELinux-Modus (erzwingend, moderat, aus) geändert wird. |
MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, wenn bei Verwendung der Paket-Labeling-Funktionen des von NetLabel bereitgestellten Kernels ein statisches Label hinzugefügt wird. |
NETFILTER_CFG | GENERIC_EVENT | Wird ausgelöst, wenn Änderungen an Netfilter-Ketten erkannt werden. |
OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen über einen Prozess aufzuzeichnen, an den ein Signal gesendet wird. |
PATH | FILE_OPEN/GENERISCHES_EVENT | Wird zum Aufzeichnen von Dateinamenpfadinformationen ausgelöst. |
SELINUX_ERR | GENERIC_EVENT | Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird. |
SERVICE_START | SERVICE_START | Wird ausgelöst, wenn ein Dienst gestartet wird |
SERVICE_STOP | SERVICE_STOP | Wird ausgelöst, wenn ein Dienst beendet wird |
SYSCALL | GENERIC_EVENT | Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen. |
SYSTEM_BOOT | STATUS_STARTUP | Wird beim Hochfahren des Systems ausgelöst. |
SYSTEM_RUNLEVEL | STATUS_UPDATE | Wird ausgelöst, wenn sich der Runlevel des Systems ändert. |
SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Wird ausgelöst, wenn das System heruntergefahren wird |
USER_ACCT | SETTING_MODIFICATION | Wird ausgelöst, wenn ein Nutzerkonto für einen Nutzerbereich geändert wird. |
USER_AUTH | USER_LOGIN | Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird. |
USER_AVC | USER_UNCATEGORIZED | Wird ausgelöst, wenn eine AVC-Nachricht für den Nutzerbereich generiert wird. |
USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn ein Attribut eines Nutzerkontos geändert wird. |
USER_CMD | USER_COMMUNICATION | Wird ausgelöst, wenn ein Shell-Befehl für den Nutzerbereich ausgeführt wird. |
USER_END | USER_LOGOUT | Wird ausgelöst, wenn eine User-Bereich-Sitzung beendet wird. |
USER_ERR | USER_UNCATEGORIZED | Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird. |
USER_LOGIN | USER_LOGIN | Wird ausgelöst, wenn sich ein Nutzer anmeldet |
USER_LOGOUT | USER_LOGOUT | Wird ausgelöst, wenn sich ein Nutzer abmeldet. |
USER_MAC_POLICY_LOAD | RESOURCE_READ | Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt. |
USER_MGMT | USER_UNCATEGORIZED | Wird zum Aufzeichnen von Daten zur Verwaltung von Nutzerbereichen ausgelöst. |
USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird. |
USER_START | USER_LOGIN | Wird ausgelöst, wenn eine Nutzerbereichssitzung gestartet wird. |
USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn eine Änderung der Systemkonfiguration für den Nutzerbereich erkannt wird. |
VIRT_CONTROL | STATUS_UPDATE | Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird. |
VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen. |
VIRT_RESOURCE | USER_RESOURCE_ACCESS | Wird zum Aufzeichnen der Ressourcenzuweisung einer virtuellen Maschine ausgelöst. |
Logfelder an UDM-Felder senden
In der folgenden Tabelle sind die Logfelder des E-Mail-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.
Logfeld | UDM-Feld |
---|---|
Klasse | about.labels.key/value |
Ctladdr | principal.user.user_display_name |
Von | network.email.from |
MS-GID | network.email.mail_id |
Proto | network.application_protocol |
Relay | intermediary.hostname
intermediary.ip |
Größe | network.received_bytes |
Statistik | security_result.summary |
bis | network.email.to |
E-Mail-Protokolltypen an UDM-Ereignistyp
In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.
E-Mail-Logtyp | UDM-Ereignistyp |
---|---|
sendmail | GENERIC_EVENT |
Abholung | EMAIL_UNCATEGORIZED |
cleanup | GENERIC_EVENT |
Qualitätsmanagement | EMAIL_UNCATEGORIZED |
smtp | GENERIC_EVENT |
lokal | EMAIL_UNCATEGORIZED |