Recopila registros de OSSEC
En este documento, se describe cómo puedes recopilar registros de OSSEC a través de la configuración de OSSEC y un servidor de reenvío de Chronicle. También se enumeran los tipos de registro y la versión de OSSEC compatibles.
Para obtener más información, consulta Transferencia de datos a Chronicle.
Descripción general
En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran los agentes y servidores de OSSEC para enviar registros a Chronicle. Cada implementación del cliente puede diferir de esta representación y puede ser más compleja.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux. Es el sistema Linux que se supervisará. El sistema Linux consta de los archivos que supervisarás y el agente de OSSEC.
Sistema Windows de Microsoft El sistema Microsoft Windows que se supervisará en el que está instalado el agente de OSSEC
Agente de OSSEC. El agente de OSSEC recopila información del sistema Microsoft Windows o Linux y la reenvía al servidor de OSSEC.
Servidor OSSEC. El servidor OSSEC supervisa y recibe información de los agentes de OSSEC, analiza los registros y los reenvía al servidor de reenvío de Chronicle.
Remitente de Chronicle. El servidor de reenvío de Chronicle es un componente de software ligero, que se implementa en la red del cliente, y que es compatible con syslog. El servidor de reenvío de Chronicle reenvía los registros a Chronicle.
Chronicle. Chronicle retiene y analiza los registros del servidor OSSEC.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado de UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia OSSEC.
Antes de comenzar
Asegúrate de que el agente de OSSEC esté instalado en los sistemas de Microsoft Windows o Linux que planeas supervisar. Para obtener más información sobre la instalación del agente de OSSEC, consulta Instalación de OSSEC.
Usa una versión de OSSEC que sea compatible con el analizador de Chronicle. El analizador de Chronicle es compatible con la versión 3.6.0 de OSSEC.
Asegúrate de que el servidor OSSEC esté instalado y configurado en el servidor central de Linux.
Verifica los tipos de registros que admite el analizador de Chronicle. En la siguiente tabla, se enumeran los productos y las rutas de acceso a archivos de registro que admite el analizador de Chronicle:
Sistema operativo Producto Ruta del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux cazador de rks /var/log/rkhunter.log Linux: Servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux trampolín /var/log/rundeck/rundeck.api.log Linux trampolín /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura el agente y servidor de OSSEC, y el servidor de reenvío de Chronicle
Para configurar el agente y el servidor de OSSEC, y el servidor de reenvío de Chronicle, haz lo siguiente:
Para supervisar los registros que generan los sistemas Linux, crea un archivo
ossec.confa fin de especificar la configuración de supervisión de registros para el agente. A continuación, se muestra un archivo de configuración de ejemplo para el agente en el sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para supervisar los registros que generan los sistemas de Microsoft Windows, crea un archivo
ossec.confa fin de especificar la configuración de supervisión de registros del agente. Este es un ejemplo de archivo de configuración para el agente en el sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para reenviar los registros del servidor OSSEC a Chronicle con el protocolo syslog, crea el archivo de configuración del servidor OSSEC
syslog.confen el siguiente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configura el servidor de reenvío de Chronicle para enviar registros a Chronicle. Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío en Linux. A continuación, se muestra un ejemplo de una configuración de servidor de reenvío de Chronicle:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referencia de asignación de campos
En esta sección, se explica cómo el analizador de Chronicle aplica patrones de grok para los sistemas Linux y Microsoft Windows, y cómo asigna los campos de registro OSSEC a los campos del modelo de datos unificados de Chronicle (UDM) para cada tipo de registro.
Para obtener información sobre la referencia de asignación de campos comunes, consulta Campos comunes.
Para obtener información de referencia sobre rutas de registro, patrones de grok (por ejemplo, registros, tipos de eventos y campos de UDM en los sistemas Linux), consulta las siguientes secciones:
- Linux
- Auditar
- Tipo de evento de registro de auditoría
- Correo electrónico
- Tipo de evento de registro de correo electrónico
Para obtener información sobre los eventos compatibles de Microsoft Windows y los campos de UDM correspondientes, consulta los datos de eventos de Microsoft Windows.
Campos comunes
En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.
| Campo de registro común | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| aplicación | principal.application |
| log | metadata.description |
| ip | target.ip o principal.ip |
| Nombre de host | target.hostname o principal.hostname |
Sistema Linux
En la siguiente tabla, se enumeran las rutas de acceso para el sistema Linux, el patrón grok (por ejemplo, registros), el tipo de evento y las asignaciones de UDM:
| Ruta de acceso del registro | Registro de ejemplo | Patrón de grok | Tipo de evento | Asignación de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [cliente 1.200.32.47:59840] no pudo establecer la conexión. | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip Se asignó client_port a principal.port error_message se asignó a security_result.description network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer la conexión | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid error_message se asignó a security_result.description network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip Se asignó client_port a principal.port error_message se asignó a security_result.description target.platform está configurada como "LINUX" referer_url se asigna a network.http.referral_url |
| /var/log/apache2/error.log | Dom. 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH01114: HTTP: failed to make backend.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | La marca de tiempo se asigna a metadata.event_timestamp. log_module se asigna a target.resource.name log_level se asigna a security_result.severity El pid se asigna a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip Se asignó client_port a principal.port error_message se asignó a security_result.description target_ip se asigna a target.ip referer_url se asigna a network.http.referral_url network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Sáb 02 de febrero 00:30:55 2019] Nueva conexión: [conexión: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. client_ip se asigna a principal.ip Se asignó client_port a principal.port Se asigna connection_id a network.session_id. network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Sáb Feb 02 00:30:55 2019] Nueva solicitud: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. request_id se asigna a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip Se asignó client_port a principal.port El pid se asigna a target.process.parent_process.pid. Se asigna connection_id a network.session_id. network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/error.log | [Sáb. Feb 02 00:30:55 2019] [información] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [cliente 192.0.2.1:50784] AH001. | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_level se asigna a security_result.severity request_id se asigna a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip Se asignó client_port a principal.port El pid se asigna a target.process.parent_process.pid. Se asigna connection_id a network.session_id. error_message se asignó a security_result.description file_path se asignó a target.file.full_path network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/access.log | 10.50.0.1 - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NTx 10.5.0)" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip se asigna a principal.ip userid se asigna a principal.user.userid host se asignó a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp. se asigna a network.http.method el recurso se asigna a principal.resource.name El valor de client_protocol se asigna a network.application_protocol result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Ene/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host se asigna a target.hostname target_port se asigna a target.port client_ip se asigna a principal.ip userid se asigna a principal.user.userid host se asignó a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp. se asigna a network.http.method el recurso se asigna a principal.resource.name result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” network.application_protocol está configurado como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | la ruta de acceso se asignó a target.url referer_url se asigna a network.http.referral_url network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent se asigna a network.http.user_agent network.direction se estableció como "OUTBOUND" target.platform está configurada como "LINUX" network.application_protocol está configurado como "HTTP" target.platform está configurada como "LINUX" metadata.vendor_name se estableció en “Apache” metadata.product_name está configurado en “Servidor HTTP Apache” |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT96K)" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time se asigna a metadata.timestamp La ip se asigna a target.ip principal_ip se asigna a principal.ip principal_user_userid se asignó a principal.user.userid metadata_timestamp se asigna a la marca de tiempo http_method se asigna a network.http.method resource_name se asigna a principal.resource.name protocolo asignado a network.application_protocol = (HTTP) response_code se asigna a network.http.response_code {/8}_bytes se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent target.platform está configurada como "LINUX" metadata.vendor_name se configura en “NGINX” metadata.product_name se configura en “NGINX” network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" falló (2: No existe ese archivo o directorio), client: 192.0.2.1, server: localhost, request: \“GET /nginx_status\”. | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
internal_message2 se asigna a “{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", “{security_description}” |
NETWORK_HTTP | subproceso_id se asignó a principal.process.pid severity se asigna a security_result.severity. (la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, la notificación se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, la crítica se asigna a CRITICAL, la alerta se asigna a HIGH) target_file_full_path se asigna a target.file.full_path principal_ip se asigna a principal.ip target_hostname se asigna a target.hostname http_method se asigna a network.http.method resource_name se asigna a principal.resource.name el protocolo se asigna a “TCP” target_ip se asigna a target.ip target_port se asigna a target.port security_description + security_result_description_2 se asignan a security_result.description. pid se asigna a principal.process.parent_process.pid network.application_protocol está configurado como "HTTP" la marca de tiempo se asigna a las %{year}/%{day}/%{month} %{time} target.platform está configurada como "LINUX" metadata.vendor_name se configura en “NGINX” metadata.product_name se configura en “NGINX” network.ip_protocol está configurado como “TCP” network.direction se estableció como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falló la verificación de comandos obligatorios | [<message_text>]{security_description}. | STATUS_UPDATE | time se asigna a metadata.timestamp securtiy_description se asigna a security_result.description principal.platform se estableció como "LINUX" metadata.vendor_name se estableció como “RootKit Hunter” El archivo metadata.product_name se estableció como "RootKit Hunter". |
| var/log/rkhunter.log | [14:09:52] Buscando el archivo "/dev/.oz/.nap/rkit/terror" [ No se encontró ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path security_description se asigna a security_result.description principal.platform se estableció como "LINUX" metadata.vendor_name se estableció como “RootKit Hunter” El archivo metadata.product_name se estableció como "RootKit Hunter". |
| var/log/rkhunter.log | ossec: Se redujo el tamaño del archivo (nodo se mantuvo): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time se asigna a metadata.timestamp metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path principal.platform se estableció como "LINUX" metadata.vendor_name se estableció como “RootKit Hunter” El archivo metadata.product_name se estableció como "RootKit Hunter". |
| /var/log/kern.log | 7 de julio 18:48:32 Kernel zynvpnsvr: [2081387.006876] IPv4: fuente marciana 1.20.32.39 de 192.0.2.1, en dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". target_ip se asigna a “target.ip” principal_ip se asigna a “principal.ip” target_user_userid se asigna a "target.user.userid" metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| /var/log/kern.log | 25 de octubre 10:10:51 Kernel de localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operations="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". metadata_description se asigna a “metadata.description” La ruta file_path se asigna a “principal.process.file”. El pid se asigna a “principal.process.pid”. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| /var/log/kern.log | 28 de abril 12:41:35 kernel de localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". metadata_description se asigna a “metadata.description” metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| /var/log/kern.log | 28 de abril 11:17:01 Kernel localhost: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU a 2.20 GHz (familia: 0x6, modelo: 0x55, paso: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". principal_asset_hardware_cpu_model se asigna a "principal.asset.hardware.cpu_model" metadata_description se asigna a “metadata.description” metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" cpu_model se asigna a principal.asset.hardware.cpu_model. |
| /var/log/syslog.log | 29 de enero 13:51:46 Winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid http_method se asigna a network.http.method response_code se asigna a network.http.response_code el recurso está asignado a target.url target_ip se asigna a target.ip {/8}_bytes se asigna a network.received_bytes. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" Command_line se asigna a principal.process.command_line. |
| /var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Se recibió una solicitud para un agente nuevo (zsecmgr0000-0719) de: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid log_level se asigna a security_result.severity el mensaje se asigna a metadata.description Command_line se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" target_ip se asigna a target.ip |
| /var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: INFO: Nueva conexión desde el 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid log_level se asigna a security_result.severity description se asigna a security_result.description Command_line se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| /var/log/syslog.log | 29 de enero, 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicado) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid log_level se asigna a security_result.severity description + reason se asigna a security_result.description. Command_line se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| /var/log/syslog.log | 2 de mayo 06:25:01 localhost apachectl[64942]: AH00558: apache2: No se pudo determinar de forma confiable el nombre de dominio completamente calificado del servidor, mediante ::1. Configura la directiva “ServerName” de forma global para suprimir este mensaje | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid el mensaje se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" Command_line se asigna a principal.process.command_line. |
| /var/log/syslog.log | 2 de mayo de 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) cortados | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid el mensaje se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" Command_line se asigna a principal.process.command_line. |
| /var/log/syslog.log | 3 de mayo 10:14:37 localhost rsyslogd: El ID de usuario de rsyslogd cambió a 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | El valor de collect_time se asigna a metadata.collected_timestamp nombre de host se asignó a principal.hostname el mensaje se asigna a metadata.description user_id se asigna a principal.user.userid Command_line se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| /var/log/syslog.log | 5 de mayo 10:36:48 localhost systemd[1]: Iniciando servicio de registro del sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna el valor collect_time a metadata.event_timestamp. nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid el mensaje se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" Command_line se asigna a principal.process.command_line. |
| /var/log/mail.log | 16 de mar | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid resource_name se asigna a target.resource.name metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/mail.log | 7 de abril, 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is inaccesible | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, Delay=0.01, DELAY=0/0.01/0/0, dsn=2.0.0, status=sent (entregado al buzón de correo) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname aplicación está asignada a target.application El pid se asigna a target.process.pid metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - El acceso a la clave de configuración “[filterNames]” mediante la notación de puntos está obsoleto y se quitará en una versión futura. En su lugar, usa “config.getProperty(key, targetClass)”. | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | Command_line se asigna a “target.process.command_line”. La file_path se asigna a "target.process.file.full_path" la marca de tiempo se asigna a "metadata.event_timestamp" gravedad se asigna a "security_result.severity" summary se asigna a "security_result.summary" security_description se asigna a "security_result.description" metadata.product_name está configurado en “OSSEC” metadata.vendor_name está configurado en “OSSEC” |
| /var/log/auth.log | 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: Se quitó la sesión 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a “target.hostname”; de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id se asignó a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”; de lo contrario, se asigna a “target.user.userid”. "principal.platform" se asignó a "LINUX" if(remove_session) event_type se establece en USER_LOGOUT extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/auth.log | 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: Nueva sesión 3205 de raíz del usuario. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a “target.hostname”; de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id se asignó a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”; de lo contrario, se asigna a “target.user.userid”. "principal.platform" se asignó a "LINUX" “network.application_protocol” se asignó a “SSH” if(new_session) event_type se establece en USER_ACCESS. extensions.auth.type se estableció en AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/auth.log | 28 de abril 11:35:31 Ubuntu18 sshd[23573]: Contraseña aceptada para la raíz desde 10.0.1.1, puerto 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a “target.hostname”; de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”; de lo contrario, se asigna a “target.user.userid”. principal_ip se asigna a “principal.ip” principal_port se asigna a "principal.port" security_result_detection_fields_ssh_kv se asigna a “security_result.detection_fields.key/value” security_result_detection_fields_kv se asigna a “security_result.detection_fields.key/value” "principal.platform" se estableció en "LINUX" “network.application_protocol” está configurado como “SSH” metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/auth.log | 28 de abril 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): Authentication failed; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a “target.hostname”; de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" principal_user_uuserid se asigna a “principal.user.attribute.labels” principal_user_attribute_labels_euid_kv se asigna a "principal.user.attribute.labels.key/value" principal_ruser_userid se asigna a "principal.user.attribute.labels.key/value" target_ip se asigna a “target.ip” Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”; de lo contrario, se asigna a “target.user.userid”. "principal.platform" se estableció en "LINUX" “network.application_protocol” está configurado como “SSH” metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/auth.log | 24 de febrero 00:13:02 precisa32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a principal.hostname principal_application se asignó a principal.application pid se asigna a principal.process.pid principal_user_userid se asignó a target.user.userid security_description se asigna a "security_result.description" principal_process_command_line_1 se asigna a "principal.process.command_line". principal_process_command_line_2 se asigna a "principal.process.command_line". principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" se estableció en "LINUX" |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión abierta para la raíz del usuario por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a “target.hostname”; de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”; de lo contrario, se asigna a “target.user.userid”. principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" se estableció en "LINUX" “network.application_protocol” está configurado como “SSH” metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión cerrada para la raíz del usuario | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a “target.hostname”; de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”; de lo contrario, se asigna a “target.user.userid”. principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value "principal.platform" se estableció en "LINUX" metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| /var/log/auth.log | 24 de mayo 12:56:31 ip-10-50-2-176 sshd[119931]: Se agotó el tiempo de espera porque el cliente no responde. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asigna a principal.hostname principal_application se asignó a principal.application pid se asigna a principal.process.pid security_result_description se asigna a security_result_description "principal.platform" se estableció en "LINUX" metadata.vendor_name se configura en OSSEC metadata.product_name está configurado en OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(inicializar_winbindd_cache)Initialize_winbindd_cache: borrar la caché y volver a crearla con el número de versión 2. | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | la marca de tiempo se asigna a “metadata.timestamp” El pid se asigna a “principal.process.pid”. principal_user_attribute_labels_kv se asigna a "principal.user.attribute.labels" principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels". principal_user_userid se asigna a “principal.user.userid” principal_group_product_object_id se asigna a "principal.group.product_object_id" security_description se asigna a "security_result.description" metadata_description se asigna a “metadata.description” metadata.product_name está configurado en “OSSEC” “metadata.vendor_name” está configurado en “OSSEC” |
| var/log/samba/log.winbindd | Messaging_dgm_init: Error de vinculación: No queda espacio en el dispositivo | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name está configurado en “OSSEC” metadata.vendor_name” está configurado en “OSSEC” user_id se asigna a principal.user.userid desc se asigna a metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTO casi | {timestamp}[stdout#{log_level}][OVPN <message_text>]SALIDA:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity local_ip se asigna a principal.ip target_ip se asigna a target.ip target_hostname se asignó a principal.hostname puerto se asigna a target.port el usuario se asigna a principal.user.user_display_name metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Versiones de la biblioteca: OpenSSL 1.1.1 11 de septiembre de 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity msg se asigna a security_result.description metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTO1AC0via] Conexión de intercambio de tráfico iniciada con [I050.NET_I.50.NET.I | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
mensaje se asigna a <message_text>con[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity este mensaje se asigna a security_result.description metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [Ohc0priv-04-29T10:51:22+0530 | {timestamp}[stdout#{log_level}][OVPN <message_text>]SALIDA:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity este mensaje se asigna a security_result.description el usuario se asigna a principal.user.user_display_name ip se asigna a principal.ip metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asigna a security_result.severity este mensaje se asigna a security_result.description summary se asigna a security_result.summary Se asignó user_name a principal.user.user_display_name la CLI se asigna a principal.process.command_line estado se asigna a principal.user.user_authentication_status metadata.vendor_name se estableció en “OpenVPN” metadata.product_name está configurado como “Servidor de acceso a OpenVPN” principal.platform se estableció como "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="update-systemd-systemd?utmp? | type={audit_log_type} |
EventType en la hoja actual del registro de auditoría de la pestaña de asignación de EventType | audit_log_type se asigna a metadata.product_event_type metadata_ingested_timestamp se asigna a "metadata.event_timestamp" metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.plateform se estableció en "LINUX" los datos están asignados al par clave-valor -> Asignación de UDM en la hoja actual de la pestaña audit.log |
| var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFORMACIÓN: Iniciando análisis de syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Supervisión del resultado completo del comando(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. command_line está asignado a target.process.command_line metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not available: 'Connection denied'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. metadata_description se asigna a metadata.description el recurso se asigna a target.resource.name metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analizando archivo: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:25 ossec-syscheckd: INFO: ignorando: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. file_path se asignó a target.file.full_path metadata.vendor_name se configura en OSSEC metadata.product_name está configurado en OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Lee el archivo de claves de autenticación. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: No se pudo abrir el archivo "/queue/rids/004" debido a [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description error_code se asigna a security_result.summary. error_metadata_description se asigna a security_result.summary metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: No se puede vincular el puerto "1514" | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. metadata_description se asigna a metadata.description puerto se asigna a target.port metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysis: INFO: Lectura de archivo de reglas: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysis: INFO: Ignorando archivo: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asigna a target.process.pid severity se asigna a security_result.severity. file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” |
| proceso de ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocolo se asigna a network.ip_protocol pid se asigna a principal.process.pid Se estableció metadata.description en Nombre del programa: %{process_name} metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
| verificación del sistema | Se modificó el archivo "/usr/bin/fwts" | Archivo “{file_path}” {description} | FILE_MODIFICATION | descripción se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” metadata.product_name está configurado en “OSSEC” principal.platform se estableció como "LINUX" |
Auditar
Campos de registro de auditoría para campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| audaz | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| CWD | target.file.full_path |
| datos | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| familia | network.ip_protocol se establece en "IP6IN4" si "ip_protocol" == 2; de lo contrario, se configura como "UNKNOWN_IP_PROTOCOL" |
| tipo de archivo | target.file.mime_type |
| FIJO | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Nombre de host | target.hostname |
| tipo de icmp | network.ip_protocol está configurado como "ICMP" |
| id | Si [audit_log_type] == "ADD_USER", target.user.userid se establece en "%{id}".
Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id se establece en "%{id}". else target.user.attribute.labels.key/value se establece en id. |
| inodo | target.resource.product_object_id |
| clave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Standard | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| nueva-CPU virtual | target.resource.attribute.labels.key/value |
| nueva-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| ocommo | target.process.command_line |
| opid | target.process.pid |
| SO | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogido | target.group.product_object_id |
| ouid | target.user.userid |
| ruta de acceso | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Si [ip_protocol] == 2, network.ip_protocol se establece en “IP6IN4”
else network.ip_protocol se establece como "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| Resultado | security_result.summary |
| triste | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| SGID | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| correcto | Sisuccess=='yes', securtiy_result.summary se establece en "Se realizó correctamente la llamada al sistema".
else securtiy_result.summary se establece en "Falló la llamada del sistema". |
| suid | target.user.userid |
| llamada de sistema | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Si [audit_log_type] en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_POLICY] es la principal.
else uid está configurado como target.user.userid |
| vm | target.resource.name |
Tipos de registros de auditoría a tipo de evento de UDM
En la siguiente tabla, se enumeran los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Se activa cuando se agrega un grupo de espacio de usuario. |
| ADD_USER | USER_CREATION | Se activa cuando se agrega una cuenta de usuario del espacio de usuario. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anormal (con una señal que podría causar un volcado del núcleo, si está habilitado). |
| AVC | GENERIC_EVENT | Se activa para grabar una verificación de permisos de SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
| CRED_ACQ | USER_LOGIN | Se activa cuando un usuario adquiere credenciales del espacio del usuario. |
| CRED_DISP | USER_LOGOUT | Se activa cuando un usuario elimina las credenciales del espacio de usuario. |
| CRED_REFR | USER_LOGIN | Se activa cuando un usuario actualiza sus credenciales del espacio de usuario. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión TLS. |
| DCP | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Se activa cuando se detiene un daemon debido a un error. |
| DAEMON_END | PROCESS_TERMINATION | Se activa cuando se detiene correctamente un daemon. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd reanuda el registro. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
| DAEMON_START | PROCESS_LAUNCH | Se activa cuando se inicia el daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Se activa cuando se borra un grupo de espacio de usuario |
| Pendiente | USER_DELETION | Se activa cuando se borra un usuario del espacio de usuario. |
| EXECVE (EXECVE) | PROCESS_LAUNCH | Se activa para registrar argumentos de la llamada al sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano de SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec cuando se detecta uno o cuando cambia la configuración de IPSec. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política SELinux. |
| MAC_STATUS | GENERIC_EVENT | Se activa cuando se cambia el modo SELinux (aplicar, permisivo, desactivado). |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se agrega una etiqueta estática cuando se usan las funciones de etiquetado de paquetes del kernel que proporciona NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan las modificaciones de la cadena de Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía un indicador. |
| PATH | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta de acceso del nombre del archivo. |
| SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
| SERVICE_START | SERVICE_START | Se activa cuando se inicia un servicio. |
| SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
| SISTEMA | GENERIC_EVENT | Se activa para registrar una llamada del sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Se activa cuando cambia el nivel de ejecución del sistema. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
| USER_ACCT | SETTING_MODIFICATION | Se activa cuando se modifica una cuenta de usuario del espacio de usuario. |
| USER_AUTH | USER_LOGIN | Se activa cuando se detecta un intento de autenticación en el espacio del usuario. |
| USER_AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje AVC en el espacio del usuario. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de cuenta de usuario. |
| USER_CMD | USER_COMMUNICATION | Se activa cuando se ejecuta un comando de shell del espacio del usuario. |
| USER_END | USER_LOGOUT | Se activa cuando finaliza una sesión de espacio de usuario. |
| USER_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error de estado de cuenta de usuario. |
| USER_LOGIN | USER_LOGIN | Se activa cuando un usuario accede. |
| USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario sale de su cuenta. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon del espacio de usuario carga una política SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar los datos de la administración del espacio del usuario. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia el rol de SELinux de un usuario. |
| USER_START | USER_LOGIN | Se activa cuando se inicia una sesión de espacio de usuario. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio en la configuración del sistema del espacio del usuario. |
| VIRT_CONTROL | STATUS_UPDATE | Se activa cuando se inicia, se pausa o se detiene una máquina virtual. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta a una máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Envía campos de registro a los campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo electrónico y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| Clase | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Desde | network.email.from |
| MSID | network.email.mail_id |
| Proto | network.application_protocol |
| Retransmisión | intermediary.hostname
intermediary.ip |
| del vocab. | network.received_bytes |
| Estadísticas | security_result.summary |
| para | network.email.to |
Envía los tipos de registro por correo electrónico al tipo de evento de UDM.
La siguiente tabla enumera los tipos de registros de correo electrónico y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de correo electrónico | Tipo de evento de UDM |
|---|---|
| Enviar correo electrónico | GENERIC_EVENT |
| retiro | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| local | EMAIL_UNCATEGORIZED |