Recopila registros de la OSSEC
En este documento, se describe cómo puedes recopilar registros de OSSEC mediante la configuración de OSSEC y un servidor de reenvío de Google Security Operations. En este documento, también se enumeran los tipos de registros admitidos y la versión de OSSEC compatible.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Descripción general
En el siguiente diagrama de la arquitectura de implementación, se muestra cómo los agentes y servidores de OSSEC están configurados para enviar registros a Google Security Operations. En cada implementación de cliente difieran de esta representación y podrían ser más complejas.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux El sistema Linux que se supervisará. El sistema Linux consta de entre los archivos para supervisar y el agente de OSSEC.
Sistema Microsoft Windows. El sistema de Microsoft Windows que se supervisará en el que el agente de OSSEC esté instalado.
Agente de OSSEC. El agente de OSSEC recopila información de Microsoft Windows o Linux sistema operativo y reenvía la información al servidor de la OSSEC.
Servidor OSSEC: El servidor OSSEC supervisa y recibe información del Agentes de OSSEC. Analiza los registros y los reenvía al servidor de reenvío de Google Security Operations.
Servidor de reenvío de Google Security Operations. El servidor de reenvío de Google Security Operations es una solución componente de software, implementado en la red del cliente, que admite syslog. El servidor de reenvío de Google Security Operations reenvía los registros a Google Security Operations.
Google Security Operations. Google Security Operations retiene y analiza los registros de el servidor OSSEC.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar
al formato de UDM estructurado. La información de este documento se aplica al analizador
por la etiqueta de transferencia OSSEC.
Antes de comenzar
Asegúrate de que el agente de OSSEC esté instalado en los sistemas Microsoft Windows o Linux que que planeas supervisar. Si quieres obtener más información para instalar el agente de OSSEC, consulta Instalación de OSSEC.
Usa una versión de OSSEC que admita el analizador de Google Security Operations. Google Security Operations es compatible con la versión 3.6.0 de OSSEC.
Asegúrate de que el servidor OSSEC esté instalado y configurado en el servidor central de Linux.
Verifica los tipos de registros que admite el analizador de Google Security Operations. En la siguiente tabla, se indican los productos y las rutas de acceso de los archivos de registro que admite el analizador de Google Security Operations:
Sistema operativo Producto Ruta del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux: Servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux recorrido /var/log/rundeck/rundeck.api.log Linux recorrido /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Asegúrate de que todos los sistemas en la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura el agente y el servidor de OSSEC, y el servidor de reenvío de Google Security Operations
Para configurar el agente y el servidor de OSSEC, así como el servidor de reenvío de Google Security Operations, haz lo siguiente:
Para supervisar los registros que generan los sistemas Linux, crea un archivo
ossec.confpara especificar la supervisión de registros actual del agente. Este es un ejemplo de archivo de configuración para el agente en el sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para supervisar los registros que generan los sistemas Microsoft Windows, crea un
ossec.conf. para especificar la configuración de supervisión de registros del agente. Aquí hay un ejemplo de configuración para el agente en el sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para reenviar los registros del servidor OSSEC a Google Security Operations mediante el protocolo syslog, Crea el archivo de configuración del servidor OSSEC
syslog.confen el siguiente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configura el servidor de reenvío de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instala y configura el reenviador en Linux. El siguiente es un ejemplo de una configuración del servidor de reenvío de Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referencia de la asignación de campos
En esta sección, se explica cómo el analizador de Google Security Operations aplica patrones de grok para Sistemas Linux y Microsoft Windows y cómo asigna los campos de registro de OSSEC a los campos del Modelo de datos unificados (UDM) de Google Security Operations para cada tipo de registro
Para obtener información sobre la asignación de referencia de campos comunes, consulta Campos comunes
Para obtener información de referencia sobre rutas de registro, patrones grok, por ejemplo, registros, tipos de eventos, y UDM en sistemas Linux, consulta las siguientes secciones:
- Linux
- Auditar
- Tipo de evento del registro de auditoría
- Correo electrónico
- Tipo de evento de registro de correo electrónico
Para obtener información sobre los eventos compatibles de Microsoft Windows y los campos UDM correspondientes, consulta lo siguiente: consulta Datos de eventos de Microsoft Windows
Campos comunes
En la siguiente tabla, se enumeran los campos de registro comunes y sus campos UDM correspondientes.
| Campo de registro común | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| aplicación | principal.application |
| log | metadata.description |
| ip | target.ip o principal.ip |
| Nombre de host | target.hostname o principal.hostname |
Sistema Linux
La siguiente tabla incluye las rutas de acceso para el sistema Linux, el patrón grok, por ejemplo, los registros tipo de evento y asignaciones UDM:
| Ruta de registro | Registro de ejemplo | Patrón de redondo | Tipo de evento | Asignación de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] no pudo establecer la conexión | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | la marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer la conexión | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | la marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid error_message se asignó a security_result.description network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” la marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description El parámetro target.platform está configurado en "LINUX" La URL de referencia se asignó a la red.http.referral_url |
| /var/log/apache2/error.log | Dom 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH011191: failed to make 2.com. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [cliente {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?” | NETWORK_HTTP | la marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description target_ip se asignó a target.ip. La URL de referencia se asignó a la red.http.referral_url network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/error.log | [Sábado 2 de febrero 00:30:55 2019] Nueva conexión: [conexión: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp client_ip se asigna a principal.ip client_port se asignó a principal.port connection_id se asignó a network.session_id network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/error.log | [Sáb 2 de febrero 00:30:55 2019] Solicitud nueva: [conexión: j8BjX4Z5tjk] [solicitud: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp request_id se asignó a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip client_port se asignó a principal.port El pid se asignó a target.process.parent_process.pid. connection_id se asignó a network.session_id network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784: AH001/local. | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[cliente {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | la marca de tiempo se asigna a metadata.event_timestamp log_level se asignó a security_result.severity request_id se asignó a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip client_port se asignó a principal.port El pid se asignó a target.process.parent_process.pid. connection_id se asignó a network.session_id error_message se asignó a security_result.description file_path se asignó a target.file.full_path network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Abr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 “http://192.0.2.1/test/first.html” "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip se asigna a principal.ip userid se asignó a principal.user.userid el host se asignó a principal.hostname la marca de tiempo se asigna a metadata.event_timestamp se asignó a network.http.method recurso se asignó a principal.resource.name client_protocol está asignado a network.application_protocol result_status se asignó a network.http.response_code object_size se asignó a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Ene/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host está asignado a target.hostname target_port se asignó a target.port client_ip se asigna a principal.ip userid se asignó a principal.user.userid el host se asignó a principal.hostname la marca de tiempo se asigna a metadata.event_timestamp se asignó a network.http.method recurso se asignó a principal.resource.name result_status se asignó a network.http.response_code object_size se asignó a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” network.application_protocol está configurado en “HTTP” |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | La ruta de acceso se asignó a target.url. La URL de referencia se asignó a la red.http.referral_url network.direction está configurado como "OUTBOUND" El parámetro target.platform está configurado en "LINUX" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent está asignado a network.http.user_agent network.direction está configurado como "OUTBOUND" El parámetro target.platform está configurado en "LINUX" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en "Apache" “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 “http://192.0.2.1/” "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | el tiempo se asigna a metadata.timestamp ip se asignó a target.ip. principal_ip se asignó a principal.ip principal_user_userid se asigna a principal.user.userid metadata_timestamp se asigna a la marca de tiempo El método http está asignado a network.http.method. resource_name se asignó a principal.resource.name El protocolo se asigna a network.application_protocol = (HTTP). response_code está asignado a network.http.response_code recibido_bytes se asigna a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en “NGINX” El valor “metadata.product_name” está configurado como “NGINX”. network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" |
| var/log/nginx/error.log | 29/01/2022 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" error (2: Sin tal archivo o directorio), cliente: 192.0.2.1, servidor: localhost, solicitud: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
Internal_message2 se asigna a “{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() a ({target_ip}|[{target_ip}]):{target_port} falló ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id se asignó a principal.process.pid severity se asigna a security_result.severity (la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, el aviso se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, la crítica se asigna a CRITICAL y la alerta se asigna a HIGH) target_file_full_path se asignó a target.file.full_path principal_ip se asignó a principal.ip target_hostname está asignado a target.hostname El método http está asignado a network.http.method. resource_name se asignó a principal.resource.name el protocolo se asigna a “TCP” target_ip se asignó a target.ip. target_port se asignó a target.port Se asignó security_description + security_result_description_2 a security_result.description. El pid se asignó a principal.process.parent_process.pid. network.application_protocol está configurado en “HTTP” la marca de tiempo se asigna a %{year}/%{day}/%{month} a %{time} El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en “NGINX” El valor “metadata.product_name” está configurado como “NGINX”. network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] No se pudieron verificar los comandos necesarios | [<message_text>]{security_description} | STATUS_UPDATE | el tiempo se asigna a metadata.timestamp securtiy_description se asignó a security_result.description principal.platform está configurado en "LINUX" "metadata.vendor_name" está configurado como "RootKit Hunter". "Metadata.product_name" está configurado en "RootKit Hunter". |
| var/log/rkhunter.log | [14:09:52] Buscando el archivo '/dev/.oz/.nap/rkit/terror' [ No encontrado ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path security_description se asigna a security_result.description principal.platform está configurado en "LINUX" "metadata.vendor_name" está configurado como "RootKit Hunter". "Metadata.product_name" está configurado en "RootKit Hunter". |
| var/log/rkhunter.log | ossec: Se redujo el tamaño del archivo (nodo permaneció): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | el tiempo se asigna a metadata.timestamp metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path principal.platform está configurado en "LINUX" "metadata.vendor_name" está configurado como "RootKit Hunter". "Metadata.product_name" está configurado en "RootKit Hunter". |
| /var/log/kern.log | 7 de julio 18:48:32 kernel de zynvpnsvr: [2081387.006876] IPv4: fuente marciana 1.20.32.39 desde 192.0.2.1, en dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, en el desarrollador {target_user_userid} | NETWORK_CONNECTION | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. target_ip se asignó a "target.ip". principal_ip se asigna a “principal.ip”. target_user_userid está asignado a "target.user.userid" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| /var/log/kern.log | 25 de octubre 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. metadata_description se asigna a "metadata.description" file_path está asignada a "principal.process.file" pid se asigna a "principal.process.pid". metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| /var/log/kern.log | 28 de abril 12:41:35 kernel de localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. metadata_description se asigna a "metadata.description" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| /var/log/kern.log | 28 de abril 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20 GHz (familia: 0x6, modelo: 0x55, pasos: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. principal_asset_hardware_cpu_model se asigna a “principal.asset.hardware.cpu_model” metadata_description se asigna a "metadata.description" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" El modelo_cpu se asigna a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 de enero 13:51:46 envt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. El método http está asignado a network.http.method. response_code está asignado a network.http.response_code El recurso se asignó a target.url. target_ip se asignó a target.ip. recibido_bytes se asigna a network.received_bytes metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})de: {target_ip} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. log_level se asignó a security_result.severity mensaje se asignó a metadata.description La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" target_ip se asignó a target.ip. |
| /var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Nueva conexión a partir de 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}desde {target_ip} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. log_level se asignó a security_result.severity la descripción se asignó a security_result.description. La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| /var/log/syslog.log | 29 de enero 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Nombre del agente no válido zsecmgr0000-0719 (duplicado) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. log_level se asignó a security_result.severity la descripción y el motivo se asignaron a security_result.description. La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| /var/log/syslog.log | 2 de mayo 06:25:01 localhost apachectl[64942]: AH00558: apache2: No se pudo determinar de forma confiable el nombre de dominio completamente calificado del servidor mediante ::1. Configura el “Nombre del servidor” directiva global para suprimir este mensaje | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. mensaje se asignó a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/syslog.log | 2 de mayo 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) cortado | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. mensaje se asignó a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/syslog.log | 3 de mayo 10:14:37 localhost rsyslogd: el userid de rsyslogd cambió a 102. | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | Se asigna Collect_time a metadata.collected_timestamp. el nombre de host se asignó a principal.hostname mensaje se asignó a metadata.description user_id se asignó a principal.user.userid La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| /var/log/syslog.log | 5 de mayo 10:36:48 localhost systemd[1]: Iniciando el servicio de registro del sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. mensaje se asignó a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
| /var/log/mail.log | 16 de marzo 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G96AtwwMTH0localhost. | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. resource_name se asignó a target.resource.name metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: La red es inaccesible | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/mail.log | 7 de abr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, demora=0.01, retrasos=0/0.01/0/0, dsn=2.0.0, status=sent (enviado a buzón) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Cómo acceder a la clave de configuración '[filterNames]' a través de la notación de puntos dejó de estar disponible y se quitará en una versión futura. Usa “config.getProperty(key, targetClass)” en su lugar. | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | la línea de comandos está asignada a “target.process.command_line” file_path está asignado a "target.process.file.full_path" la marca de tiempo se asigna a "metadata.event_timestamp" la gravedad se asigna a “security_result.severity” El resumen se asigna a "security_result.summary". security_description se asigna a "security_result.description" “metadata.product_name” está configurado como “OSSEC” metadata.vendor_name está configurado en “OSSEC” |
| /var/log/auth.log | 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: Se quitó la sesión 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id está asignado a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". “principal.platform” está asignado a "LINUX" if(remove_session) event_type se estableció en USER_LOGOUT. El parámetro extensions.auth.type está configurado como AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/auth.log | 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: Nueva sesión 3205 de raíz del usuario | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id está asignado a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". “principal.platform” está asignado a "LINUX" "network.application_protocol" esté asignado a “SSH” if(new_session) event_type se estableció en USER_Login. El parámetro extensions.auth.type está configurado como AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/auth.log | 28 de abril 11:35:31 Ubuntu18 sshd[23573]: Contraseña aceptada para la raíz del puerto 10.0.1.1 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido )?{principal_user_userid} del puerto {principal_ip} del puerto {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_ip se asigna a “principal.ip”. principal_port se asignó a "principal.port" security_result_detection_fields_ssh_kv se asigna a “security_result.detection_fields.key/value”. security_result_detection_fields_kv se asigna a “security_result.detection_fields.key/value” “principal.platform” esté configurado en "LINUX" "network.application_protocol" esté configurado en "SSH" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/auth.log | 28 de abril 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): Authentication failed; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" principal_user_uuserid se asigna a “principal.user.attribute.labels”. principal_user_attribute_labels_euid_kv se asigna a “principal.user.attribute.labels.key/value”. principal_ruser_userid se asigna a “principal.user.attribute.labels.key/value”. target_ip se asignó a "target.ip". Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". “principal.platform” esté configurado en "LINUX" "network.application_protocol" esté configurado en "SSH" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/auth.log | 24 de febrero 00:13:02 curso preciso32 sudo: tsg : usuario NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=raíz ; COMANDO=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asignó a principal.hostname principal_application se asignó a principal.application El pid se asignó a principal.process.pid. principal_user_userid se asignó a target.user.userid. security_description se asigna a "security_result.description" principal_process_command_line_1 está asignado a “principal.process.command_line” principal_process_command_line_2 se asignó a “principal.process.command_line” principal_user_attribute_labels_uid_kv se asigna a “principal.user.attribute.labels.key/value”. “principal.platform” esté configurado en "LINUX" |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión abierta para la raíz del usuario por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido|usuario)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a “principal.user.attribute.labels.key/value”. “principal.platform” esté configurado en "LINUX" "network.application_protocol" esté configurado en "SSH" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión cerrada para la raíz del usuario | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido|usuario)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". de lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value “principal.platform” esté configurado en "LINUX" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| /var/log/auth.log | 24 de mayo 12:56:31 ip-10-50-2-176 sshd[119931]: Se agotó el tiempo de espera, el cliente no responde. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp principal_hostname se asignó a principal.hostname principal_application se asignó a principal.application El pid se asignó a principal.process.pid. Se asignó security_result_description a security_result_description. “principal.platform” esté configurado en "LINUX" metadata.vendor_name está configurado en OSSEC El valor de metadata.product_name es OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(Initialize_winbindd_cache)Initialize_winbindd_cache: Borra la caché y vuelve a crearla con el número de versión 2. | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | la marca de tiempo se asigna a “metadata.timestamp” pid se asigna a "principal.process.pid". principal_user_attribute_labels_kv se asigna a “principal.user.attribute.labels”. principal_group_attribute_labels_kv se asigna a “principal.group.attribute.labels” principal_user_userid se asigna a "principal.user.userid" principal_group_product_object_id se asigna a “principal.group.product_object_id” security_description se asigna a "security_result.description" metadata_description se asigna a "metadata.description" “metadata.product_name” está configurado como “OSSEC” "metadata.vendor_name" esté configurado en “OSSEC” |
| var/log/samba/log.winbindd | Messaging_dgm_init: Bind failed: No queda espacio en el dispositivo. | {user_id}: {desc} | STATUS_UPDATE | “metadata.product_name” está configurado como “OSSEC” metadata.vendor_name" esté configurado en “OSSEC” user_id se asignó a principal.user.userid desc se asignó a metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOG/10.50.0.1:16245 MULTI: Más información: 272.27. mohit_AUTOACCEDER/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|”) | NETWORK_HTTP | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity local_ip se asigna a principal.ip target_ip se asignó a target.ip. target_hostname se asignó a principal.hostname el puerto está asignado a target.port el usuario se asignó a principal.user.user_display_name metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versiones: OpenSSL 1.1.1 11 de septiembre de 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][mensaje_texto>OVPN: SALIDA:(<campo_opcional>'|")<message_text>{msg}(<campo_opcional>'|") | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLogin] [OVPN 4]OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTO ID]. | {timestamp}[stdout#{log_level}][mensaje_texto>OVPN: SALIDA:(<campo_opcional>'|")<message_text>{message}(<campo_opcional>'|")
mensaje se asigna a <message_text>con[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | (estado=1)". | {timestamp}[stdout#{log_level}][mensaje_texto>OVPN: SALIDA:(<campo_opcional>'|")<message_text>{usuario}\/{ip}:{mensaje}(<campo_opcional>'|") | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. el usuario se asignó a principal.user.user_display_name La IP se asignó a principal.ip. metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
| var/log/openvpnas.log | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. El resumen se asignó a security_result.summary. user_name se asigna a principal.user.user_display_name la CLI se asignó a principal.process.command_line. el estado se asigna a principal.user.user_authentication_status metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
|
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType en la hoja actual Registro de auditoría de la pestaña Asignación de EventType | audit_log_type se asigna a metadata.product_event_type. metadata_ingested_timestamp se asigna a "metadata.event_timestamp". metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.plateform está configurado en "LINUX" los datos se asignan al par clave-valor-> Asignación de UDM en la pestaña audit.log de la hoja actual |
| var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFO: Iniciando análisis de syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity La línea de comandos se asignó a target.process.command_line. metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' no accesible: “Conexión rechazada”. | {timestamp} {application}(({pid}))<optional_field>{severity}: Fila '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description El recurso se asignó a target.resource.name. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector(1950): INFO: Analizando archivo: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignorando<message_text>:'{file_path}' | SCAN_PROCESS | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata.vendor_name está configurado en OSSEC El valor de metadata.product_name es OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Lee el archivo de claves de autenticación. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1103): ERROR: No se pudo abrir el archivo '/queue/rids/004'. debido a [(13)-(Permiso denegado)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description error_code se asignó a security_result.summary error_metadata_description se asigna a security_result.summary metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERROR: No se puede vincular el puerto “1514” | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description el puerto está asignado a target.port metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:06 ossec-analysisd: INFO: Ignoing file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignorando|Ignorando archivo)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
| proceso ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocolo se asigna a network.ip_protocol El pid se asignó a principal.process.pid. El parámetro metadata.description se estableció en Nombre del programa: %{process_name} metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
| syscheck | Archivo '/usr/bin/fwts' modificados | Archivo “{file_path}” {description} | FILE_MODIFICATION | description se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
Auditoría
Campos de registro de auditoría a campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus correspondientes campos UDM.
| Campo de registro | Campo de UDM |
|---|---|
| cuenta | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| Auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comunicación | target.application |
| cwd | target.file.full_path |
| datos | about.labels.key/value |
| devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| familia | network.ip_protocol está configurado en “IP6IN4” if "ip_protocol" == 2 si no, se establece en “UNKNOWN_IP_PROTOCOLO” |
| tipo de archivo | target.file.mime_type |
| FSGID | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Nombre de host | target.hostname |
| icmptype | network.ip_protocol está configurado en “ICMP” |
| id | Si [audit_log_type] == "ADD_USER", target.user.userid se establece en "%{id}".
Si [audit_log_type] == "ADD_GROUP", se establece target.group.product_object_id en "%{id}". else target.user.attribute.labels.key/value está configurado como id |
| inode | target.resource.product_object_id |
| clave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Standard | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| nuevo-disco | target.resource.name |
| nueva-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| nueva-red | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| Opide | target.process.pid |
| oses | network.session_id |
| uuid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogida | target.group.product_object_id |
| uuid | target.user.userid |
| ruta | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| protocolo | Si [ip_protocol] == 2, network.ip_protocol se establece en "IP6IN4".
else network.ip_protocol está configurado como "UNKNOWN_IP_PROTOCOL" |
| resolución | security_result.summary |
| Resultado | security_result.summary |
| tristeza | security_result.detection_fields.key/value |
| Salu | target.user.attribute.labels.key/value |
| ses | network.session_id |
| SGID | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| correcto | Si Success=='yes', securtiy_result.summary se estableció como "La llamada del sistema se realizó correctamente".
else securtiy_result.summary se estableció como “error de llamada al sistema” |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Si [audit_log_type] está en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, ADD_GROUP, DEL_USER, USER_CMD_user POLICY del usuario, USER_MAC_MAC es la principal].
else uid está configurado como target.user.userid |
| vm | target.resource.name |
Tipos de registros de auditoría a tipo de evento de UDM
En la siguiente tabla, se indican los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Se activa cuando se agrega un grupo de espacio de usuario. |
| ADD_USER | USER_CREATION | Se activa cuando se agrega una cuenta de usuario al espacio de usuario. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anormal (con un indicador que podría causar un volcado del núcleo, si está habilitado). |
| AVC | GENERIC_EVENT | Se activa para registrar una verificación de permisos de SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
| CRED_ACQ | USER_LOGIN | Se activa cuando un usuario adquiere credenciales del espacio de usuario. |
| CRED_DISP | USER_LOGOUT | Se activa cuando un usuario borra las credenciales del espacio de usuario. |
| CRED_REFR | USER_LOGIN | Se activa cuando un usuario actualiza sus credenciales del espacio de usuario. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión de TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Se activa cuando se detiene un daemon debido a un error. |
| DAEMON_END | PROCESS_TERMINATION | Se activa cuando se detiene correctamente un daemon. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd reanuda el registro. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
| DAEMON_START | PROCESS_LAUNCH | Se activa cuando se inicia el daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Se activa cuando se borra un grupo de espacio de usuario. |
| Pendiente | USER_DELETION | Se activa cuando se borra un usuario del espacio de usuario. |
| EJECVE | PROCESS_LAUNCH | Se activa para registrar argumentos de la llamada al sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano de SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec, cuando se detecta uno o cuando cambia la configuración de IPSec. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política de SELinux. |
| MAC_STATUS | GENERIC_EVENT | Se activa cuando se cambia el modo SELinux (de aplicación forzosa, permisivo, desactivado). |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se agrega una etiqueta estática cuando se usan las capacidades de etiquetado de paquetes del kernel que proporciona NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan modificaciones de la cadena de Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía una señal. |
| PATH | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta del nombre del archivo. |
| SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
| SERVICE_START | SERVICE_START | Se activa cuando se inicia un servicio. |
| SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
| SYSCALL | GENERIC_EVENT | Se activa para registrar una llamada del sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Se activa cuando se cambia el nivel de ejecución del sistema. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
| USER_ACCT | SETTING_MODIFICATION | Se activa cuando se modifica una cuenta de usuario del espacio de usuario. |
| USER_AUTH | USER_LOGIN | Se activa cuando se detecta un intento de autenticación del espacio de usuario. |
| USER_AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje AVC del espacio del usuario. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de cuenta de usuario. |
| USER_CMD | USER_COMMUNICATION | Se activa cuando se ejecuta un comando de shell del espacio de usuario. |
| USER_END | USER_LOGOUT | Se activa cuando finaliza una sesión en el espacio de usuario. |
| USER_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error de estado de cuenta de usuario. |
| USER_LOGIN | USER_LOGIN | Se activa cuando un usuario accede a su cuenta. |
| USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario sale de su cuenta. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon del espacio de usuario carga una política SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar datos de administración del espacio del usuario. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia el rol de SELinux de un usuario. |
| USER_START | USER_LOGIN | Se activa cuando se inicia una sesión en el espacio de usuario. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio de configuración del sistema en el espacio del usuario. |
| VIRT_CONTROL | STATUS_UPDATE | Se activa cuando se inicia, pausa o detiene una máquina virtual. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta a una máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Envía campos de registro por correo electrónico a los campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo electrónico y sus correspondientes campos UDM.
| Campo de registro | Campo de UDM |
|---|---|
| Clase | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Desde | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Retransmisión | intermediary.hostname
intermediary.ip |
| Tamaño | network.received_bytes |
| Estadísticas | security_result.summary |
| a | network.email.to |
Enviar tipos de registros por correo electrónico al tipo de evento de UDM
En la siguiente tabla, se indican los tipos de registros de correo electrónico y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de correo electrónico | Tipo de evento de UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| local | EMAIL_UNCATEGORIZED |