Recopilar registros de OSSEC

En este documento, se describe cómo recopilar registros de OSSEC mediante la configuración de OSSEC y un servidor de reenvío de Chronicle. En este documento, también se enumeran los tipos de registros y la versión de OSSEC compatibles.

Para obtener más información, consulta Transferencia de datos a Chronicle.

Descripción general

En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran los agentes y servidores de OSSEC para enviar registros a Chronicle. Cada implementación del cliente puede diferir de esta representación y podría ser más compleja.

Arquitectura de implementación

En el diagrama de arquitectura, se muestran los siguientes componentes:

  • Sistema Linux Es el sistema Linux que se supervisará. El sistema Linux consta de los archivos que se supervisarán y el agente de OSSEC.

  • Sistema de Microsoft Windows El sistema de Microsoft Windows que se supervisará en el que se instala el agente de OSSEC.

  • Agente de OSSEC. El agente de OSSEC recopila información del sistema Microsoft Windows o Linux y la reenvía al servidor OSSEC.

  • Servidor OSSEC: El servidor OSSEC supervisa y recibe información de los agentes de OSSEC, analiza los registros y los reenvía al servidor de reenvío de Chronicle.

  • Reenvío de Chronicle. El servidor de reenvío de Chronicle es un componente de software liviano, implementado en la red del cliente, que es compatible con syslog. El servidor de reenvío de Chronicle reenvía los registros a Chronicle.

  • Chronicle. Chronicle retiene y analiza los registros del servidor OSSEC.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia OSSEC.

Antes de comenzar

  • Asegúrate de que el agente de OSSEC esté instalado en los sistemas de Microsoft Windows o Linux que planeas supervisar. Para obtener más información sobre la instalación del agente de OSSEC, consulta Instalación de OSSEC

  • Usa una versión de OSSEC compatible con el analizador de Chronicle. El analizador de Chronicle admite la versión 3.6.0 de OSSEC.

  • Asegúrate de que el servidor OSSEC esté instalado y configurado en el servidor central de Linux.

  • Verifica los tipos de registro que admite el analizador de Chronicle. En la siguiente tabla, se enumeran los productos y las rutas de acceso a los archivos de registro que admite el analizador de Chronicle:

    Sistema operativo Producto Ruta del archivo de registro
    Microsoft Windows Microsoft Windows Registros de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux Linux /var/log/ulog/syslogemu.log
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux: Servidor OSSEC OSSEC /var/ossec/logs/ossec.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux trampolín /var/log/rundeck/rundeck.api.log
    Linux trampolín /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log
  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

Configurar el agente y servidor de OSSEC y el servidor de reenvío de Chronicle

Para configurar el agente y el servidor de OSSEC, además del servidor de reenvío de Chronicle, haz lo siguiente:

  1. Para supervisar los registros que generan los sistemas Linux, crea un archivo ossec.conf a fin de especificar la configuración de supervisión de registros del agente. A continuación, se muestra un archivo de configuración de ejemplo para el agente en el sistema Linux:

    <ossec_config>
    
    <!-- Files to monitor (localfiles) -->
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/ossec/logs/ossec.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/auth.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/kern.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/mail.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/syslog</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/error.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/access.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/other_vhost_access.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/nonvnc-server-access.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/nginx/access.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/nginx/error.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/openvpnas.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/rkhunter.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/rundeck/service.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/samba/log.winbindd</location>
    </localfile>
    
    <localfile>
     <log_format>command</log_format>
     <command>df -P</command>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/audit/audit.log</location>
    </localfile>
    
    <localfile>
     <log_format>full_command</log_format>
     <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
    </localfile>
    
    <localfile>
     <log_format>full_command</log_format>
     <command>last -n 5</command>
    </localfile>
    </ossec_config>
    
    
  2. Para supervisar los registros que generan los sistemas de Microsoft Windows, crea un archivo ossec.conf a fin de especificar la configuración de supervisión de registros del agente. A continuación, se muestra un ejemplo de un archivo de configuración para el agente en el sistema Microsoft Windows:

    <ossec_config>
    <!-- Channels to monitor (localfiles) -->
    <localfile>
     <log_format>Security</log_format>
     <location>eventchannel</location>
    </localfile>
    
    <localfile>
     <log_format>System</log_format>
     <location>eventchannel</location>
    </localfile>
    
    <localfile>
     <log_format>Application</log_format>
     <location>eventchannel</location>
    </localfile>
    </ossec_config>
    
  3. Para reenviar los registros del servidor OSSEC a Chronicle con el protocolo syslog, crea el archivo de configuración del servidor OSSEC syslog.conf en el siguiente formato:

    .*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
    
  4. Configura el servidor de reenvío de Chronicle para que envíe registros a Chronicle. Para obtener más información, consulta Cómo instalar y configurar el servidor de reenvío en Linux. El siguiente es un ejemplo de configuración de un servidor de reenvío de Chronicle:

      - syslog:
          common:
            enabled: true
            data_type: OSSEC
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10514
          connection_timeout_sec: 60
    

Referencia de asignación de campos

En esta sección, se explica cómo el analizador de Chronicle aplica patrones de grok para los sistemas Linux y Microsoft Windows, y cómo asigna los campos de registro OSSEC a los campos del modelo de datos unificados de Chronicle (UDM) para cada tipo de registro.

Para obtener información sobre cómo asignar referencias a campos comunes, consulta Campos comunes.

Para obtener información de referencia sobre rutas de registro, patrones de grok (por ejemplo, registros, tipos de eventos y campos de UDM en sistemas Linux), consulta las siguientes secciones:

Para obtener información sobre los eventos compatibles de Microsoft Windows y los campos de UDM correspondientes, consulta los datos de eventos de Microsoft Windows.

Campos comunes

En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.

Campo de registro común Campo de UDM
collected_time metadata.collected_timestamp
basada en reglas principal.application
log metadata.description
ip target.ip o principal.ip
Nombre de host target.hostname o principal.hostname

Sistema Linux

En la siguiente tabla, se enumeran las rutas de acceso de los registros del sistema Linux, el patrón Ggrok (por ejemplo, registros), el tipo de evento y las asignaciones de UDM:

Ruta de acceso del registro Registro de ejemplo Patrón de grok Tipo de evento Asignación de UDM
/var/log/apache2/error.log [Jue 28 de abril 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] no se pudo establecer la conexión [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

La marca de tiempo se asigna a metadata.event_timestamp

log_module se asigna a target.resource.name

log_level se asigna a security_result.depth

pid se asignó a target.process.parent_process.pid

tid se asignó a target.process.pid

client_ip se asigna a principal.ip

Se asignó client_port a principal.port

error_message se asignó a security_result.description

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/error.log [Jue 28 de abril 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer la conexión [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

La marca de tiempo se asigna a metadata.event_timestamp

log_module se asigna a target.resource.name

log_level se asigna a security_result.depth

pid se asignó a target.process.parent_process.pid

tid se asignó a target.process.pid

error_message se asignó a security_result.description

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/error.log [Jue 28 de abril 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

La marca de tiempo se asigna a metadata.event_timestamp

log_module se asigna a target.resource.name

log_level se asigna a security_result.depth

pid se asignó a target.process.parent_process.pid

tid se asignó a target.process.pid

client_ip se asigna a principal.ip

Se asignó client_port a principal.port

error_message se asignó a security_result.description

target.platform está configurado como "LINUX"

referencia_url se asigna a network.http.referral_url

/var/log/apache2/error.log Dom , 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01er114: HTTP: failed to make backend [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

La marca de tiempo se asigna a metadata.event_timestamp

log_module se asigna a target.resource.name

log_level se asigna a security_result.depth

pid se asignó a target.process.parent_process.pid

tid se asignó a target.process.pid

client_ip se asigna a principal.ip

Se asignó client_port a principal.port

error_message se asignó a security_result.description

target_ip se asigna a target.ip

referencia_url se asigna a network.http.referral_url

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/error.log [Sáb 2 de feb 00:30:55 2019] Nueva conexión: [conexión: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

La marca de tiempo se asigna a metadata.event_timestamp

client_ip se asigna a principal.ip

Se asignó client_port a principal.port

connection_id se asignó a network.session_id

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/error.log [Sábado 2 de febrero 00:30:55 2019] Nueva solicitud: [conexión: j8BjX4Z5tjk] [solicitud: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

La marca de tiempo se asigna a metadata.event_timestamp

request_id se asigna a security_result.detection_fields.(clave/valor)

client_ip se asigna a principal.ip

Se asignó client_port a principal.port

pid se asignó a target.process.parent_process.pid

connection_id se asignó a network.session_id

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/error.log [Sábado 02 de febrero 00:30:55 2019] [Información] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [cliente 192.0.2.1:50784]: El archivo no. [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

La marca de tiempo se asigna a metadata.event_timestamp

log_level se asigna a security_result.depth

request_id se asigna a security_result.detection_fields.(clave/valor)

client_ip se asigna a principal.ip

Se asignó client_port a principal.port

pid se asignó a target.process.parent_process.pid

connection_id se asignó a network.session_id

error_message se asignó a security_result.description

file_path se asignó a target.file.full_path

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/access.log 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT Win4.38) Apple/5.0 (Windows NT Win4.38.HTML6.736.x10.10.010.01.17" 10.01.017.011.017.10.77 P frente ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip se asigna a principal.ip

userid se asigna a principal.user.userid

el host se asignó a principal.hostname

La marca de tiempo se asigna a metadata.event_timestamp

se asigna el método a network.http.method

el recurso se asigna a principal.resource.name

Se asignó client_protocol a network.application_protocol

result_status se asigna a network.http.response_code

object_size se asigna a network.sent_bytes

referencia_url se asigna a network.http.referral_url

user_agent se asigna a network.http.user_agent

network.ip_protocol se establece en “TCP”

network.direction está configurado como "OUTBOUND"

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

target_host se asignó a target.hostname

target_port se asignó a target.port

client_ip se asigna a principal.ip

userid se asigna a principal.user.userid

el host se asignó a principal.hostname

La marca de tiempo se asigna a metadata.event_timestamp

se asigna el método a network.http.method

el recurso se asigna a principal.resource.name

result_status se asigna a network.http.response_code

object_size se asigna a network.sent_bytes

referencia_url se asigna a network.http.referral_url

user_agent se asigna a network.http.user_agent

network.ip_protocol se establece en “TCP”

network.direction está configurado como "OUTBOUND"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

network.application_protocol está configurado en "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /altostrat.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

la ruta se asignó a target.url

referencia_url se asigna a network.http.referral_url

network.direction está configurado como "OUTBOUND"

target.platform está configurado como "LINUX"

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent se asigna a network.http.user_agent

network.direction está configurado como "OUTBOUND"

target.platform está configurado como "LINUX"

network.application_protocol está configurado en "HTTP"

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “Apache”

metadata.product_name está configurado en “Servidor HTTP Apache”

var/log/nginx/access.log 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 NT Win10.0.5" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

time se asigna a metadata.timestamp

La ip se asigna a target.ip

principal_ip se asigna a principal.ip

principal_user_userid se asignó a principal.user.userid

El campo metadata_timestamp se asigna a la marca de tiempo

http_method se asigna a network.http.method

resource_name se asignó a principal.resource.name

el protocolo está asignado a network.application_protocol = (HTTP)

response_code se asigna a network.http.response_code

{/6}_bytes se asigna a network.sent_bytes

referencia_url se asigna a network.http.referral_url

user_agent se asigna a network.http.user_agent

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “NGINX”.

metadata.product_name está configurado en “NGINX”.

network.ip_protocol se establece en “TCP”

network.direction está configurado como "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" falló (2: No existe ese archivo o directorio), cliente: 192.0.2.1, servidor: localhost, request: \"GET /nginx_status, HTTP/1.0.0.0\1. "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

Internal_message2 se asignó a “{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})",

"\*{cid}{security_description}",

“{security_description}”

NETWORK_HTTP

thread_id se asignó a principal.process.pid

gravedad se asigna a security_result.depth

(la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, el aviso se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, la crítica se asigna a CRITICAL, la alerta se asigna a HIGH)

target_file_full_path se asigna a target.file.full_path

principal_ip se asigna a principal.ip

target_hostname se asignó a target.hostname

http_method se asigna a network.http.method

resource_name se asignó a principal.resource.name

protocolo se asigna a “TCP”

target_ip se asigna a target.ip

target_port se asignó a target.port

security_description + security_result_description_2 se asignaron a security_result.description.

pid se asignó a principal.process.parent_process.pid.

network.application_protocol está configurado en "HTTP"

la marca de tiempo se asigna a %{year}/%{day}/%{month} %{time}

target.platform está configurado como "LINUX"

metadata.vendor_name está configurado en “NGINX”.

metadata.product_name está configurado en “NGINX”.

network.ip_protocol se establece en “TCP”

network.direction está configurado como "OUTBOUND"

var/log/rkhunter.log [14:10:40] Falló la verificación de comandos obligatorios. [<message_text>]{security_description}. STATUS_UPDATE

time se asigna a metadata.timestamp

securtiy_description se asignó a security_result.description

principal.platform está configurado como "LINUX"

metadata.vendor_name se estableció como "RootKit Hunter"

El valor de metadata.product_name es "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Buscando el archivo "/dev/.oz/.nap/rkit/terror" [ No encontrado ] [<message_text>] {security_description} {file_path}[{metadata_description}] FILE_UNCATEGORIZED

metadata_description se asigna a metadata.description

file_path se asignó a target.file.full_path

security_description se asignó a security_result.description.

principal.platform está configurado como "LINUX"

metadata.vendor_name se estableció como "RootKit Hunter"

El valor de metadata.product_name es "RootKit Hunter"

var/log/rkhunter.log ossec: Se redujo el tamaño del archivo (se mantuvo el inodo): "/var/log/rkhunter.log". (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

time se asigna a metadata.timestamp

metadata_description se asigna a metadata.description

file_path se asignó a target.file.full_path

principal.platform está configurado como "LINUX"

metadata.vendor_name se estableció como "RootKit Hunter"

El valor de metadata.product_name es "RootKit Hunter"

/var/log/kern.log 7 de julio 18:48:32 Kernel zynvpnsvr: [2081387.006876] IPv4: fuente marciana 1.20.32.39 de 192.0.2.1, en dev as0t5 {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} NETWORK_CONNECTION La marca de tiempo se asigna a “metadata.event_timestamp”.

principal_hostname se asignó a “principal.hostname”

metadata_product_event_type se asigna a "metadata.product_event_type".

target_ip se asigna a “target.ip”

principal_ip se asigna a “principal.ip”

target_user_userid se asigna a "target.user.userid"

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

/var/log/kern.log 25 de octubre 10:10:51 Kernel localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operations="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} STATUS_UPDATE La marca de tiempo se asigna a “metadata.event_timestamp”.

principal_hostname se asignó a “principal.hostname”

metadata_product_event_type se asigna a "metadata.product_event_type".

metadata_description se asigna a “metadata.description”

file_path se asignó a “principal.process.file”

pid se asigna a “principal.process.pid”.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

/var/log/kern.log 28 de abril 12:41:35 Kernel localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} STATUS_UPDATE La marca de tiempo se asigna a “metadata.event_timestamp”.

principal_hostname se asignó a “principal.hostname”

metadata_product_event_type se asigna a "metadata.product_event_type".

metadata_description se asigna a “metadata.description”

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

/var/log/kern.log 28 de abril 11:17:01 Kernel localhost: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU a 2.20 GHz (familia: 0x6, modelo: 0x55, paso a paso: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE La marca de tiempo se asigna a “metadata.event_timestamp”.

principal_hostname se asignó a “principal.hostname”

metadata_product_event_type se asigna a "metadata.product_event_type".

principal_asset_hardware_cpu_model se asigna a "principal.asset.hardware.cpu_model"

metadata_description se asigna a “metadata.description”

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

cpu_model se asigna a principal.asset.hardware.cpu_model.

/var/log/syslog.log 29 de enero 13:51:46 vinovt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} NETWORK_CONNECTION

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

http_method se asigna a network.http.method

response_code se asigna a network.http.response_code

el recurso se asigna a target.url

target_ip se asigna a target.ip

{/8}_bytes se asigna a network.received_bytes

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

command_line se asigna a principal.process.command_line.

/var/log/syslog.log 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Se recibió una solicitud para un agente nuevo (zsecmgr0000-0719) de: 3.4.5.6 {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} STATUS_UPDATE

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

log_level se asigna a security_result.depth

el mensaje se asigna a metadata.description

command_line se asigna a principal.process.command_line.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

target_ip se asigna a target.ip

/var/log/syslog.log 26 de julio 23:13:03 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: INFO: nueva conexión desde el 3.4.5.6 {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} STATUS_UPDATE

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

log_level se asigna a security_result.depth

description se asigna a security_result.description

command_line se asigna a principal.process.command_line.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

/var/log/syslog.log 29 de enero 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Nombre de agente no válido zsecmgr0000-0719 (duplicado) {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) STATUS_UPDATE

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

log_level se asigna a security_result.depth

description + el motivo se asignan a security_result.description

command_line se asigna a principal.process.command_line.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

/var/log/syslog.log 2 de mayo 06:25:01 localhost apachectl[64942]: AH00558: apache2: No se pudo determinar de forma confiable el nombre de dominio completamente calificado del servidor mediante ::1. Establece la directiva “ServerName” de forma global para suprimir este mensaje {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

el mensaje se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

command_line se asigna a principal.process.command_line.

/var/log/syslog.log May 2 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) recortado {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

el mensaje se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

command_line se asigna a principal.process.command_line.

/var/log/syslog.log 3 de mayo 10:14:37 localhost rsyslogd: la ID de usuario de rsyslogd cambió a 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collection_time se asigna a metadata.collected_timestamp

nombre de host se asignó a principal.nombredehost

el mensaje se asigna a metadata.description

user_id se asigna a principal.user.userid

command_line se asigna a principal.process.command_line.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

/var/log/syslog.log 5 de mayo 10:36:48 localhost systemd[1]: Iniciando servicio de registro del sistema... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collect_time se asigna a metadata.event_timestamp

nombre de host se asignó a principal.nombredehost

pid se asignó a principal.process.pid

el mensaje se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

command_line se asigna a principal.process.command_line.

/var/log/mail.log 16 de marzo 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6localhost.proto2L {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} STATUS_UPDATE

target_hostname se asignó a target.hostname

la aplicación está asignada a target.application

pid se asigna a target.process.pid

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/mail.log 7 de abril, 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<raíz> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname se asignó a target.hostname

la aplicación está asignada a target.application

pid se asigna a target.process.pid

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/mail.log 7 de abril, 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> STATUS_UPDATE

target_hostname se asignó a target.hostname

la aplicación está asignada a target.application

pid se asigna a target.process.pid

resource_name se asigna a target.resource.name

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/mail.log 7 de abril, 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname se asignó a target.hostname

la aplicación está asignada a target.application

pid se asigna a target.process.pid

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/mail.log 7 de abril 13:44:01 prod postfix/smtp[23436]: conectarse a gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: red inaccesible {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} STATUS_UPDATE

target_hostname se asignó a target.hostname

la aplicación está asignada a target.application

pid se asigna a target.process.pid

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/mail.log 7 de abril, 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, retrasa=0.01, challenges=0/0.01/0/0, dsn=2.0.0, status=sent (entregado en el buzón) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname se asignó a target.hostname

la aplicación está asignada a target.application

pid se asigna a target.process.pid

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - El acceso a la clave de configuración “[filterNames]” mediante la notación de puntos está obsoleto y se quitará en una versión futura. En su lugar, usa "config.getProperty(key, targetClass)". [{timestamp}]{gravedad}{resumen}\-{security_description}

, en {command_line}\({file_path}:<message_text>\)

STATUS_UPDATE

command_line se asigna a "target.process.command_line".

file_path se asignó a "target.process.file.full_path"

La marca de tiempo se asigna a “metadata.event_timestamp”.

gravedad se asigna a "security_result.depth"

summary se asigna a "security_result.summary"

security_description se asignó a "security_result.description"

metadata.product_name está configurado en “OSSEC”

metadata.vendor_name está configurado en “OSSEC”

/var/log/auth.log 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: Se quitó la sesión 3080. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

La marca de tiempo se asigna a “metadata.timestamp”

Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname".

Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application".

Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid".

security_description se asignó a "security_result.description"

Network_session_id se asignó a "network.session_id"

Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”, de lo contrario, se asigna a “target.user.userid”.

"principal.platform" se asignó a "LINUX".

if(remove_session) event_type se establece en USER_LOGOUT

extensions.auth.type se establece en AUTHTYPE_UNSPECIFIED.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/auth.log 28 de abril, 11:33:24 Ubuntu18 systemd-logind[836]: Nueva sesión 3205 de usuario raíz. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

La marca de tiempo se asigna a “metadata.timestamp”

Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname".

Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application".

Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid".

security_description se asignó a "security_result.description"

Network_session_id se asignó a "network.session_id"

Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”, de lo contrario, se asigna a “target.user.userid”.

"principal.platform" se asignó a "LINUX".

“network.application_protocol” se asigna a “SSH”

if(new_session) event_type está establecido en USER_LOGIN

extensions.auth.type se establece en AUTHTYPE_UNSPECIFIED.

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/auth.log 28 de abril 11:35:31 Ubuntu18 sshd[23573]: Se aceptó la contraseña para la raíz desde el puerto 10.0.1.1 40503 ssh2. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? USER_LOGIN

La marca de tiempo se asigna a “metadata.timestamp”

Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname".

Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application".

Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid".

security_description se asignó a "security_result.description"

Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”, de lo contrario, se asigna a “target.user.userid”.

principal_ip se asigna a “principal.ip”

principal_port se asignó a “principal.port”

security_result_detection_fields_ssh_kv se asigna a "security_result.detection_fields.key/value"

security_result_detection_fields_kv se asigna a “security_result.detection_fields.key/value”

"principal.platform" está configurado como "LINUX".

“network.application_protocol” está configurado como “SSH”

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/auth.log 28 de abril 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): error de autenticación; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? USER_LOGIN

La marca de tiempo se asigna a “metadata.timestamp”

Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname".

Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application".

Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid".

security_description se asignó a "security_result.description"

principal_user_uuserid se asignó a “principal.user.attribute.labels”

principal_user_attribute_labels_euid_kv se asigna a "principal.user.attribute.labels.key/value"

principal_ruser_userid se asignó a “principal.user.attribute.labels.key/value”

target_ip se asigna a “target.ip”

Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”. De lo contrario, se asigna a “target.user.userid”.

"principal.platform" está configurado como "LINUX".

“network.application_protocol” está configurado como “SSH”

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/auth.log 24 de febrero 00:13:02 precisa32 sudo: tsg : usuario NO en sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; Comando=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} STATUS_UPDATE

La marca de tiempo se asigna a metadata.timestamp

principal_hostname se asignó a principal.hostname

principal_application se asignó a principal.application

pid se asignó a principal.process.pid

principal_user_userid se asigna a target.user.userid

security_description se asignó a "security_result.description"

principal_process_command_line_1 se asigna a “principal.process.command_line”.

principal_process_command_line_2 se asigna a “principal.process.command_line”.

principal_user_attribute_labels_uid_kv se asignó a "principal.user.attribute.labels.key/value".

"principal.platform" está configurado como "LINUX".

/var/log/auth.log 26 de abril, 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión abierta para la raíz del usuario por (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

La marca de tiempo se asigna a metadata.timestamp

Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname".

Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application".

Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid".

security_description se asignó a "security_result.description"

Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”, de lo contrario, se asigna a “target.user.userid”.

principal_user_attribute_labels_uid_kv se asignó a "principal.user.attribute.labels.key/value".

"principal.platform" está configurado como "LINUX".

“network.application_protocol” está configurado como “SSH”

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/auth.log 26 de abril, 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión cerrada para la raíz del usuario {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGOUT

La marca de tiempo se asigna a metadata.timestamp

Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname".

Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application"; de lo contrario, se asigna a "principal.application".

Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid".

security_description se asignó a "security_result.description"

Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a “principal.user.userid”, de lo contrario, se asigna a “target.user.userid”.

principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value

"principal.platform" está configurado como "LINUX".

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

/var/log/auth.log 24 de mayo a las 12:56:31 ip-10-50-2-176 sshd[119931]: Se agotó el tiempo de espera porque el cliente no responde. {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} STATUS_UPDATE

La marca de tiempo se asigna a metadata.timestamp

principal_hostname se asignó a principal.hostname

principal_application se asignó a principal.application

pid se asignó a principal.process.pid

security_result_description se asignó a security_result_description

"principal.platform" está configurado como "LINUX".

metadata.vendor_name está configurado en OSSEC

metadata.product_name está configurado en OSSEC

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(inicializar_winbindd_cache)inicializar_winbindd_cache: borrar la memoria caché y volver a crear con el número de versión 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} STATUS_UPDATE

La marca de tiempo se asigna a “metadata.timestamp”

pid se asigna a “principal.process.pid”.

principal_user_attribute_labels_kv se asignó a “principal.user.attribute.labels”

principal_group_attribute_labels_kv se asignó a “principal.group.attribute.labels”

principal_user_userid se asigna a “principal.user.userid”

principal_group_product_object_id se asigna a “principal.group.product_object_id”

security_description se asignó a "security_result.description"

metadata_description se asigna a “metadata.description”

metadata.product_name está configurado en “OSSEC”

"metadata.vendor_name" está configurado en "OSSEC"

var/log/samba/log.winbindd Messaging_dgm_init: Error de vinculación: No queda espacio en el dispositivo {user_id}: {desc} STATUS_UPDATE

metadata.product_name está configurado en “OSSEC”

metadata.vendor_name” está configurado en “OSSEC”

user_id se asigna a principal.user.userid

desc se asigna a metadata.description

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 LOGIN: 172.27.27.27.27.27.27/172.27.27 {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

La marca de tiempo se asigna a metadata.timestamp

log_level se asigna a security_result.depth

local_ip se asigna a principal.ip

target_ip se asigna a target.ip

target_hostname se asignó a principal.hostname

puerto se asigna a target.port

el usuario se asignó a principal.user.user_display_name

metadata.vendor_name está configurado como “OpenVPN”

metadata.product_name está configurado como “OpenVPN Access Server”

principal.platform está configurado como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 versiones de la biblioteca: OpenSSL 1.1.1 11 de septiembre de 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") STATUS_UPDATE

La marca de tiempo se asigna a metadata.timestamp

log_level se asigna a security_result.depth

msg se asignó a security_result.description.

metadata.vendor_name está configurado como “OpenVPN”

metadata.product_name está configurado como “OpenVPN Access Server”

principal.platform está configurado como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Conexión iniciada con [IAF0.50via] Peer_0.NET106.06.NET.06.NET.06.NET.6 {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

el mensaje se asigna a <message_text>con[<message_text>]<message_text>:{port}<message_text>

STATUS_UPDATE

La marca de tiempo se asigna a metadata.timestamp

log_level se asigna a security_result.depth

el mensaje se asignó a security_result.description

metadata.vendor_name está configurado como “OpenVPN”

metadata.product_name está configurado como “OpenVPN Access Server”

principal.platform está configurado como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") STATUS_UPDATE

La marca de tiempo se asigna a metadata.timestamp

log_level se asigna a security_result.depth

el mensaje se asignó a security_result.description

el usuario se asignó a principal.user.user_display_name

ip se asignó a principal.ip

metadata.vendor_name está configurado como “OpenVPN”

metadata.product_name está configurado como “OpenVPN Access Server”

principal.platform está configurado como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' STATUS_UPDATE

La marca de tiempo se asigna a metadata.timestamp

log_level se asigna a security_result.depth

el mensaje se asignó a security_result.description

summary se asigna a security_result.summary

user_name se asignó a principal.user.user_display_name

cli se asigna a principal.process.command_line.

el estado se asigna a principal.user.user_authentication_status

metadata.vendor_name está configurado como “OpenVPN”

metadata.product_name está configurado como “OpenVPN Access Server”

principal.platform está configurado como "LINUX"

/var/log/audit.log type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-libre? type={audit_log_type}=audit((<optional_field>{metadata_ingested_timestamp}|{metadata_ingested_timestamp})<message_text>:<message_text>):{audit_message} EventType en la hoja actual de la pestaña de asignación de EventType del registro de auditoría audit_log_type se asigna a metadata.product_event_type

metadata_ingested_timestamp se asigna a “metadata.event_timestamp”

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.plateform está configurado como "LINUX"

los datos se asignan al par clave-valor -> asignación de UDM en la pestaña audit.log de la hoja actual

var/ossec/logs/ossec.log 2022/05/12 18:15:34 ossec-syscheckd: INFORMACIÓN: Iniciando análisis de syscheck {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_UPDATE

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

metadata_description se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector: INFO: Supervisión del resultado completo del comando(360): last -n 5 {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} PROCESS_UNCATEGORIZED

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

command_line se asigna a target.process.command_line

metadata_description se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not available: 'Connection denied'. {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' USER_RESOURCE_ACCESS

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

metadata_description se asigna a metadata.description

el recurso se asigna a target.resource.name

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector(1950): INFORMACIÓN: Analizando archivo: “/var/log/rundeck/rundeck.log”. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' FILE_UNCATEGORIZED

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

file_path se asignó a target.file.full_path

metadata_description se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:34:25 ossec-syscheckd: INFORMACIÓN: ignorando: "C:\WINDOWS/PCHEALTH/HELPCTR/DataColl" {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' SCAN_PROCESS

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

file_path se asignó a target.file.full_path

metadata.vendor_name está configurado en OSSEC

metadata.product_name está configurado en OSSEC

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Leyendo archivo de claves de autenticación. {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_UPDATE

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

metadata_description se asigna a metadata.description

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: No se pudo abrir el archivo “/queue/rids/004” debido a [(13)-(Permission denied)]. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] FILE_UNCATEGORIZED

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

file_path se asignó a target.file.full_path

metadata_description se asigna a metadata.description

error_code se asigna a security_result.summary.

error_metadata_description se asignó a security_result.summary

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: No se puede vincular el puerto “1514” {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' STATUS_UPDATE

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

metadata_description se asigna a metadata.description

puerto se asigna a target.port

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:32:05 ossec-analysis: INFO: Lee el archivo de reglas: 'ms-se_rules.xml' {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' FILE_READ

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

metadata_description se asigna a metadata.description

file_path se asignó a target.file.full_path

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

var/ossec/logs/ossec.log 2022/05/11 19:32:06 ossec-analysis: INFO: Ignorando archivo: '/etc/mnttab' {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' FILE_UNCATEGORIZED

la aplicación está asignada a target.application

pid se asigna a target.process.pid

gravedad se asigna a security_result.depth

file_path se asignó a target.file.full_path

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

proceso ntpd udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} STATUS_UPDATE

protocolo se asigna a network.ip_protocol

pid se asignó a principal.process.pid

metadata.description se estableció en Nombre del programa: %{process_name}

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

verificación del sistema Se modificó el archivo “/usr/bin/fwts” Archivo “{file_path}” {description} FILE_MODIFICATION

description se asigna a metadata.description

file_path se asignó a target.file.full_path

metadata.vendor_name está configurado en “OSSEC”

metadata.product_name está configurado en “OSSEC”

principal.platform está configurado como "LINUX"

Auditar

Campos de registro de auditoría para campos de UDM

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.

Campo de registro Campo de UDM
acct target.user.user_display_name
addr principal.ip
arco about.labels.key/value
árudo target.user.userid
GrupoC principal.process.file.full_path
cmd target.process.command_line
comm target.application
CWD target.file.full_path
datos about.labels.key/value
devmajor about.labels.key/value
devminor about.labels.key/value
egida target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
familia network.ip_protocol se establece en “IP6IN4” si “ip_protocol” == 2; de lo contrario, se establece como “UNKNOWN_IP_PROTOCOL”
tipo de archivo target.file.mime_type
FIG target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
Nombre de host target.hostname
tipo de icmp network.ip_protocol está establecido en "ICMP"
id Si [audit_log_type] == "ADD_USER", target.user.userid se establece en "%{id}"

Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id se establece en "%{id}"

else target.user.attribute.labels.key/value se establece en id.

inodo target.resource.product_object_id
clave security_result.detection_fields.key/value
list security_result.about.labels.key/value
mode target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

name target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
nueva-CPU virtual target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
ocom target.process.command_line
opid target.process.pid
SO network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogido target.group.product_object_id
ouid target.user.userid
ruta de acceso target.file.full_path
permanente target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Si [ip_protocol] == 2, network.ip_protocol se establece en “IP6IN4”

else network.ip_protocol se establece como "UNKNOWN_IP_PROTOCOL"

res security_result.summary
Resultado security_result.summary
más triste security_result.detection_fields.key/value
saudí target.user.attribute.labels.key/value
ses network.session_id
SGID target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
correcto SiSuccess=='yes', securtiy_result.summary se establece en “Llamada al sistema exitosa”

else securtiy_result.summary se establece en “systemcall was failed”

suid target.user.userid
llamada de sistema about.labels.key/value
terminal target.labels.key/value
tty target.labels.key/value
uid Si [audit_log_type] en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY.

else uid está configurado como target.user.userid

vm target.resource.name

Tipos de registros de auditoría a tipo de evento de UDM

En la siguiente tabla, se enumeran los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.

Tipo de registro de auditoría Tipo de evento de UDM Descripción
ADD_GROUP GROUP_CREATION Se activa cuando se agrega un grupo de espacio de usuario.
ADD_USER USER_CREATION Se activa cuando se agrega una cuenta de usuario del espacio de usuario.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Se activa cuando un proceso finaliza de forma anormal (con una señal que podría causar un volcado de núcleo, si está habilitado).
AVC GENERIC_EVENT Se activa para registrar una verificación de permisos de SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Se activa cuando se modifica la configuración del sistema de auditoría.
CRED_ACQ USER_LOGIN Se activa cuando un usuario adquiere credenciales del espacio del usuario.
CRED_DISP USER_LOGOUT Se activa cuando un usuario elimina las credenciales del espacio del usuario.
CRED_REFR USER_LOGIN Se activa cuando un usuario actualiza sus credenciales de espacio de usuario.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos.
CRYPTO_SESSION PROCESS_TERMINATION Se activa para registrar los parámetros configurados durante el establecimiento de una sesión TLS.
DCP SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa para registrar el directorio de trabajo actual.
DAEMON_ABORT PROCESS_TERMINATION Se activa cuando se detiene un daemon debido a un error.
DAEMON_END PROCESS_TERMINATION Se activa cuando se detiene correctamente un daemon.
DAEMON_RESUME PROCESS_UNCATEGORIZED Se activa cuando el daemon auditd reanuda el registro.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Se activa cuando el daemon auditd rota los archivos de registro de auditoría.
DAEMON_START PROCESS_LAUNCH Se activa cuando se inicia el daemon auditd.
DEL_GROUP GROUP_DELETION Se activa cuando se borra un grupo de espacio de usuario
Pendiente USER_DELETION Se activa cuando se borra un usuario del espacio de usuario
EXECVE; PROCESS_LAUNCH Se activa para registrar argumentos de la llamada al sistema execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Se activa cuando se cambia un valor booleano de SELinux.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa para registrar información sobre un evento de IPSec, cuando se detecta uno o cuando cambia la configuración de IPSec.
MAC_POLICY_LOAD GENERIC_EVENT Se activa cuando se carga un archivo de política SELinux.
MAC_STATUS GENERIC_EVENT Se activa cuando se cambia el modo SELinux (aplicar, permisivo, desactivado).
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa cuando se agrega una etiqueta estática cuando se usan las capacidades de etiquetado de paquetes del kernel que proporciona NetLabel.
NETFILTER_CFG GENERIC_EVENT Se activa cuando se detectan las modificaciones de la cadena de Netfilter.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Se activa para registrar información sobre un proceso al que se envía una señal.
PATH FILE_OPEN/GENERIC_EVENT Se activa para registrar la información de la ruta de acceso del nombre del archivo.
SELINUX_ERR GENERIC_EVENT Se activa cuando se detecta un error interno de SELinux.
SERVICE_START SERVICE_START Se activa cuando se inicia un servicio.
SERVICE_STOP SERVICE_STOP Se activa cuando se detiene un servicio.
SYSCALL GENERIC_EVENT Se activa para registrar una llamada del sistema al kernel.
SYSTEM_BOOT STATUS_STARTUP Se activa cuando se inicia el sistema.
SYSTEM_RUNLEVEL STATUS_UPDATE Se activa cuando se cambia el nivel de ejecución del sistema.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Se activa cuando se apaga el sistema.
USER_ACCT SETTING_MODIFICATION Se activa cuando se modifica una cuenta de usuario del espacio de usuario.
USER_AUTH USER_LOGIN Se activa cuando se detecta un intento de autenticación en el espacio del usuario.
USER_AVC USER_UNCATEGORIZED Se activa cuando se genera un mensaje AVC en el espacio del usuario.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Se activa cuando se modifica un atributo de cuenta de usuario.
USER_CMD USER_COMMUNICATION Se activa cuando se ejecuta un comando de shell del espacio del usuario.
USER_END USER_LOGOUT Se activa cuando finaliza una sesión en el espacio del usuario.
USER_ERR USER_UNCATEGORIZED Se activa cuando se detecta un error de estado de la cuenta de usuario.
USER_LOGIN USER_LOGIN Se activa cuando un usuario accede.
USER_LOGOUT USER_LOGOUT Se activa cuando un usuario sale de su cuenta.
USER_MAC_POLICY_LOAD RESOURCE_READ Se activa cuando un daemon del espacio del usuario carga una política SELinux.
USER_MGMT USER_UNCATEGORIZED Se activa para registrar datos de administración del espacio del usuario.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Se activa cuando se cambia el rol de SELinux de un usuario.
USER_START USER_LOGIN Se activa cuando se inicia una sesión en el espacio del usuario.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Se activa cuando se detecta un cambio en la configuración del sistema del espacio del usuario.
VIRT_CONTROL STATUS_UPDATE Se activa cuando se inicia, se pausa o se detiene una máquina virtual.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Se activa para registrar la vinculación de una etiqueta a una máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Se activa para registrar la asignación de recursos de una máquina virtual.

Correo electrónico

Envía campos de registro de correo a los campos de UDM

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo electrónico y sus campos de UDM correspondientes.

Campo de registro Campo de UDM
Clase about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
MSID network.email.mail_id
Proto network.application_protocol
Retransmisión intermediary.hostname

intermediary.ip

Tamaño network.received_bytes
Estadísticas security_result.summary
para network.email.to

Envía los tipos de registro de correo electrónico al tipo de evento de UDM

En la siguiente tabla, se enumeran los tipos de registro de correo electrónico y sus tipos de eventos de UDM correspondientes.

Tipo de registro de correo electrónico Tipo de evento de UDM
enviarcorreoelectrónico GENERIC_EVENT
pickup EMAIL_UNCATEGORIZED
cleanup GENERIC_EVENT
qmgr EMAIL_UNCATEGORIZED
smtp GENERIC_EVENT
local EMAIL_UNCATEGORIZED

¿Qué sigue?