Collecter les journaux OSSEC
Ce document explique comment collecter des journaux OSSEC en configurant OSSEC et un redirecteur Chronicle. Ce document répertorie également les types de journaux compatibles et la version OSSEC compatible.
Pour en savoir plus, consultez Ingestion de données vers Chronicle.
Présentation
Le schéma d'architecture de déploiement suivant montre comment les agents et les serveurs OSSEC sont configurés pour envoyer des journaux à Chronicle. Chaque déploiement de client peut différer de cette représentation et peut être plus complexe.
Le schéma de l'architecture présente les composants suivants:
Système Linux : Système Linux à surveiller. Le système Linux est constitué des fichiers à surveiller et de l'agent OSSEC.
système Microsoft Windows. Système Microsoft Windows à surveiller dans lequel l'agent OSSEC est installé.
Agent OSSEC. L'agent OSSEC collecte des informations à partir du système Microsoft Windows ou Linux et les transmet au serveur OSSEC.
Serveur OSSEC. Le serveur OSSEC surveille et reçoit les informations des agents OSSEC. Analyse les journaux et les transmet au redirecteur Chronicle.
Redirection des chroniques. Le redirecteur Chronicle est un composant logiciel léger, déployé dans le réseau du client et compatible avec syslog. Le redirecteur Chronicle transmet les journaux à Chronicle.
Chronicle Chronicle conserve et analyse les journaux du serveur OSSEC.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations contenues dans ce document s'appliquent à l'analyseur associé au libellé d'ingestion OSSEC.
Avant de commencer
Assurez-vous que l'agent OSSEC est installé sur les systèmes Microsoft Windows ou Linux que vous prévoyez de surveiller. Pour en savoir plus sur l'installation de l'agent OSSEC, consultez Installation OSOS.
Utilisez une version OSSEC compatible avec l'analyseur Chronicle. L'analyseur Chronicle est compatible avec OSSEC version 3.6.0.
Assurez-vous que le serveur OSSEC est installé et configuré sur le serveur Linux central.
Vérifiez les types de journaux compatibles avec l'analyseur Chronicle. Le tableau suivant répertorie les produits et chemins de fichiers journaux compatibles avec l'analyseur Chronicle:
Système d'exploitation Produit Chemin d'accès au fichier journal Microsoft Windows Microsoft Windows Journaux des événements Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux Open VPN /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux - Serveur OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Configurer l'agent et le serveur OSSEC, et le redirecteur Chronicle
Pour configurer l'agent et le serveur OSSEC, ainsi que le redirecteur Chronicle, procédez comme suit:
Pour surveiller les journaux générés par les systèmes Linux, créez un fichier
ossec.confafin de spécifier la configuration de surveillance des journaux pour l'agent. Voici un exemple de fichier de configuration pour l'agent sur le système Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Pour surveiller les journaux générés par les systèmes Microsoft Windows, créez un fichier
ossec.confafin de spécifier la configuration de surveillance des journaux pour l'agent. Voici un exemple de fichier de configuration pour l'agent sur le système Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Pour transférer les journaux du serveur OSSEC vers Chronicle à l'aide du protocole Syslog, créez le fichier de configuration du serveur OSSEC
syslog.confau format suivant:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Pour en savoir plus, consultez Installer et configurer le redirecteur sous Linux. Voici un exemple de configuration de redirecteur Chronicle:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Documentation de référence sur le mappage de champs
Cette section explique comment l'analyseur Chronicle applique des modèles grok pour les systèmes Linux et Microsoft Windows, et décrit comment il mappe les champs de journaux OSSEC avec les champs Chronicle Unified Data Model (UDM) pour chaque type de journal.
Pour savoir comment mapper des références aux champs courants, consultez Champs communs
Pour obtenir des informations de référence sur les chemins de journaux, les modèles grok pour les exemples de journaux, les types d'événements et les champs UDM sur les systèmes Linux, consultez les sections suivantes:
Pour en savoir plus sur les événements Microsoft Windows compatibles et les champs UDM correspondants, consultez la section Données des événements Microsoft Windows.
Champs courants
Le tableau suivant répertorie les champs de journal courants et les champs UDM correspondants.
| Champ de journal commun | Champ UDM |
|---|---|
| temps_collecté | metadata.collected_timestamp |
| pour les applications de ML | compte.principal |
| log | métadonnées.description |
| ip | target.ip ou principal.ip |
| hostname | target.hostname ou principal.hostname |
Système Linux
Le tableau suivant répertorie les chemins d'accès aux journaux pour le système Linux, le modèle grok pour les exemples de journaux, le type d'événement et les mappages UDM:
| Chemin d'accès au journal | Exemple de journal | Motif grok | Type d'événement | Mappage UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Jeu 28 avr. 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] sans connexion | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED (Réseau non agrégé) | La valeur timestamp est mappée sur metadata.event_timestamp log_module est mappé sur target.resource.name log_level est mappé à security_result.severity "pid" est mappé à "target.process.parent_process.pid", tid est mappé sur target.process.pid. client_ip est mappé sur principal.ip client_port est mappé sur principal.port error_message est mappé à security_result.description network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/error.log | [Jeu 28 avr. 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] ne parvient pas à établir la connexion | [{timestamp}][{log_module} :{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message: | NETWORK_UNCATEGORIZED (Réseau non agrégé) | La valeur timestamp est mappée sur metadata.event_timestamp log_module est mappé sur target.resource.name log_level est mappé à security_result.severity "pid" est mappé à "target.process.parent_process.pid", tid est mappé sur target.process.pid. error_message est mappé à security_result.description network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/error.log | [Jeu 28 avr. 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Ligne de commande : //usr/sbin/apache2 | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) ? | NETWORK_UNCATEGORIZED (Réseau non agrégé) | metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" La valeur timestamp est mappée sur metadata.event_timestamp log_module est mappé sur target.resource.name log_level est mappé à security_result.severity "pid" est mappé à "target.process.parent_process.pid", tid est mappé sur target.process.pid. client_ip est mappé sur principal.ip client_port est mappé sur principal.port error_message est mappé à security_result.description target.platform est défini sur "LINUX" référe_url est mappé sur network.http.referral_url |
| /var/log/apache2/error.log | Dim Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH011112 , HTTP: failed to make to connection: 0.: | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | La valeur timestamp est mappée sur metadata.event_timestamp log_module est mappé sur target.resource.name log_level est mappé à security_result.severity "pid" est mappé à "target.process.parent_process.pid", tid est mappé sur target.process.pid. client_ip est mappé sur principal.ip client_port est mappé sur principal.port error_message est mappé à security_result.description target_ip est mappée sur target.ip référe_url est mappé sur network.http.referral_url network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sam 02 févr. 00:30:55 2019] Nouvelle connexion : [connection gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_texte>connexion:[connexion:{identifiant_connexion}][client_adresse_IP}:{port_client}: | NETWORK_UNCATEGORIZED (Réseau non agrégé) | La valeur timestamp est mappée sur metadata.event_timestamp client_ip est mappé sur principal.ip client_port est mappé sur principal.port connection_id est mappé à network.session_id network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sam 02 fév 00:30:55 2019] Nouvelle demande: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}. | NETWORK_UNCATEGORIZED (Réseau non agrégé) | La valeur timestamp est mappée sur metadata.event_timestamp request_id est mappé à security_result.detection_fields.(key/value) client_ip est mappé sur principal.ip client_port est mappé sur principal.port "pid" est mappé à "target.process.parent_process.pid", connection_id est mappé à network.session_id network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sam Fév 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739) [client 192.0.2.1:50784] AH/0/h:r. | [{timestamp}] [{log_level}] | NETWORK_UNCATEGORIZED (Réseau non agrégé) | La valeur timestamp est mappée sur metadata.event_timestamp log_level est mappé à security_result.severity request_id est mappé à security_result.detection_fields.(key/value) client_ip est mappé sur principal.ip client_port est mappé sur principal.port "pid" est mappé à "target.process.parent_process.pid", connection_id est mappé à network.session_id error_message est mappé à security_result.description file_path est mappé avec target.file.full_path network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<facultatif_champ>{method}/(<facultatif_champ>{ressource}?) {client_protocol}?){result_status}{object_size}(<champ_facultatif>(<champ_facultatif>{referer_url}?)(<champ_facultatif>{user_agent}?) ? | NETWORK_HTTP | client_ip est mappé sur principal.ip "userid" est mappé avec "principal.user.userid" hôte est mappé sur principal.hostname La valeur timestamp est mappée sur metadata.event_timestamp est mappée sur network.http.method. ressource associée à principal.resource.name client_protocol est mappé à network.application_protocol result_status est mappé sur network.http.response_code object_size est mappé sur network.sent_bytes référe_url est mappé sur network.http.referral_url user_agent est mappé à network.http.user_agent network.ip_protocol est défini sur "TCP" network.direction est défini sur "OUTBOUND" network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.abc.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<champ_facultatif>{host}?) [{timestamp}](<champ_facultatif>{method}/(<champ_facultatif>{ressource}?}{client_protocol}?){result_status}{object_size}(<facultatif_champ>{referer_url}?)(<facultatif_champ>{user_agent}?) | NETWORK_HTTP | target_host est mappé à target.hostname target_port est mappé à target.port client_ip est mappé sur principal.ip "userid" est mappé avec "principal.user.userid" hôte est mappé sur principal.hostname La valeur timestamp est mappée sur metadata.event_timestamp est mappée sur network.http.method. ressource associée à principal.resource.name result_status est mappé sur network.http.response_code object_size est mappé sur network.sent_bytes référe_url est mappé sur network.http.referral_url user_agent est mappé à network.http.user_agent network.ip_protocol est défini sur "TCP" network.direction est défini sur "OUTBOUND" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" network.application_protocol est défini sur "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<champ_facultatif>{referer_url}?)->(<champ_facultatif>{chemin}?) | GENERIC_EVENT | le chemin d'accès est mappé à target.url référe_url est mappé sur network.http.referral_url network.direction est défini sur "OUTBOUND" target.platform est défini sur "LINUX" network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<champ_facultatif>{user_agent}) | GENERIC_EVENT | user_agent est mappé à network.http.user_agent network.direction est défini sur "OUTBOUND" target.platform est défini sur "LINUX" network.application_protocol est défini sur "HTTP" target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "Apache" metadata.product_name est défini sur "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<champ_facultatif>{principal_user_userid}?) [{timestamp}] {http_method} /(<champ_facultatif>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<facultatif_champ>{referer_url}) ({user_agent}|{user_agent}) ? | NETWORK_HTTP | L'heure est mappée sur metadata.timestamp IP est mappée sur target.ip principal_ip est mappé avec principal.ip principal_user_userid est mappé sur principal.user.userid metadata_timestamp est mappé sur horodatage http_method est mappé sur network.http.method resource_name est mappé sur nom.ressource.nom. Protocole mappé à network.application_protocol = (HTTP) response_code est mappé à network.http.response_code received_bytes est mis en correspondance avec network.sent_bytes référe_url est mappé sur network.http.referral_url user_agent est mappé à network.http.user_agent target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "NGINX" metadata.product_name est défini sur "NGINX" network.ip_protocol est défini sur "TCP" network.direction est défini sur "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 est mappé sur "{security_result_description_2},client:{principal_ip},server:(<champ_facultatif>{target_hostname}?),request:"{http_method} /(<champ_facultatif>{resource_name}?) ? {protocol}/1.1",host:"({cible_cible}:{port_cible}?" "bind() to ({target_ip}|[{target_ip}]):{fail_port}: Échec ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id est mappé sur principal.process.pid. La gravité est mappée sur security_result.severity (débogage à UNKNOWN_SEVERITY, informations à INFORMATION, avis à LOW, avertissement à MEDIUM, erreur à ERROR, critère à CRITICAL, alerte à HIGH) target_file_full_path est mappé sur target.file.full_path principal_ip est mappé avec principal.ip target_hostname est mappé avec target.hostname http_method est mappé sur network.http.method resource_name est mappé sur nom.ressource.nom. Protocole mappé avec "TCP" target_ip est mappée sur target.ip target_port est mappé à target.port security_description + security_result_description_2 est mappé sur security_result.description pid est mappé sur principal.process.parent_process.pid network.application_protocol est défini sur "HTTP" L'horodatage est mappé à /%{année}/%{jour}/%{mois} target.platform est défini sur "LINUX" metadata.vendor_name est défini sur "NGINX" metadata.product_name est défini sur "NGINX" network.ip_protocol est défini sur "TCP" network.direction est défini sur "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Échec de la vérification des commandes obligatoires | [<message_text>]{security_description} | STATUS_UPDATE | L'heure est mappée sur metadata.timestamp securtiy_description est mappé avec security_result.description principal.platform est défini sur "LINUX" metadata.vendor_name est défini sur "RootKit Hunter" metadata.product_name est défini sur "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Vérification du fichier /dev/.oz/.nap/rkit/terror [Page introuvable ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED (Fichier non agrégé) | metadata_description est mappée sur metadata.description file_path est mappé avec target.file.full_path security_description est mappé avec security_result.description principal.platform est défini sur "LINUX" metadata.vendor_name est défini sur "RootKit Hunter" metadata.product_name est défini sur "RootKit Hunter" |
| var/log/rkhunter.log | ossec: taille du fichier réduite (inode restant) : /var/log/rkhunter.log. | (<facultatif_champ><message_text>) :{metadata_description}':{file_path}' | FILE_UNCATEGORIZED (Fichier non agrégé) | L'heure est mappée sur metadata.timestamp metadata_description est mappée sur metadata.description file_path est mappé avec target.file.full_path principal.platform est défini sur "LINUX" metadata.vendor_name est défini sur "RootKit Hunter" metadata.product_name est défini sur "RootKit Hunter" |
| /var/log/kern.log | 7 juillet 18:48:32 noyau zynvpnsvr: [2081387.006876] IPv4: source martienne 1.20.32.39 à partir de 192.0.2.1 sur dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, lors du développement {target_user_userid} | CONNEXION_RÉSEAU | La valeur timestamp est mappée sur "metadata.event_timestamp" principal_hostname est mappé sur "principal.hostname" metadata_product_event_type est mappé sur "metadata.product_event_type" target_ip est mappée sur "target.ip" principal_ip est mappé sur "principal.ip". target_user_userid est mappé sur "target.user.userid" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| /var/log/kern.log | 25 octobre 10:10:51 localhost noyau: [ 31.974576] audit: type=1400 audit(1635136846.152:2) apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=75: | {timestamp}{principal_hostname}{metadata_product_event_type} : <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | La valeur timestamp est mappée sur "metadata.event_timestamp" principal_hostname est mappé sur "principal.hostname" metadata_product_event_type est mappé sur "metadata.product_event_type" metadata_description est mappée sur "metadata.description" file_path est mappé sur "principal.process.file" pid est mappé sur "principal.process.pid". metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| /var/log/kern.log | 28 avr. 12:41:35 localhost noyau: [ 5079.912215] ctnetlink v0.93: register with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type} : [<message_text>?]{metadata_description: | STATUS_UPDATE | La valeur timestamp est mappée sur "metadata.event_timestamp" principal_hostname est mappé sur "principal.hostname" metadata_product_event_type est mappé sur "metadata.product_event_type" metadata_description est mappée sur "metadata.description" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| /var/log/kern.log | 28 avr. 11:17:01 - noyau localhost: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>]) <message_text> :\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | La valeur timestamp est mappée sur "metadata.event_timestamp" principal_hostname est mappé sur "principal.hostname" metadata_product_event_type est mappé sur "metadata.product_event_type" principal_asset_hardware_cpu_model est mappé sur "principal.asset.hardware.cpu_model" metadata_description est mappée sur "metadata.description" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" cpu_model est mappé sur principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 janvier 13:51:46 vinvt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 317 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<facultatif_champ>{resource}?)({target_ip}){received_bytes? | CONNEXION_RÉSEAU | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid http_method est mappé sur network.http.method response_code est mappé à network.http.response_code La ressource est mappée sur target.url target_ip est mappée sur target.ip received_bytes est mis en correspondance avec network.received_bytes metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" command_line est mappée sur principal.process.command_line |
| /var/log/syslog.log | 26 juil. 23:13:03 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: INFO: réception d'une demande pour un nouvel agent (zsecmgr0000-0719) : 3.4.5.6 | {collected_timestamp}<message_texte>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname}) : {target_ip} | STATUS_UPDATE | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid log_level est mappé à security_result.severity message est mappé avec metadata.description command_line est mappée sur principal.process.command_line metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" target_ip est mappée sur target.ip |
| /var/log/syslog.log | 26 juil. 23:13:03 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: INFO: Nouvelle connexion 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}de {target_ip} | STATUS_UPDATE | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid log_level est mappé à security_result.severity description est mappée sur security_result.description command_line est mappée sur principal.process.command_line metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| /var/log/syslog.log | 29 janvier 13:51:46 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: ERREUR: nom d'agent non valide zsecmgr0000-0719 | {collected_timestamp}<message_texte>{command_line}[{pid}]:{date}<message_message>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid log_level est mappé à security_result.severity description + motif est mappé avec security_result.description command_line est mappée sur principal.process.command_line metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| /var/log/syslog.log | 2 mai 06:25:01 localhost apachectl[64942]: AH00558: apache2: Impossible de déterminer de manière fiable le nom de domaine complet du serveur, en utilisant ::1. Définir l'instruction "ServerName" de manière globale pour supprimer ce message | {collected_timestamp}{hostname}{command_line}(<champ_facultatif>|[{pid}]:{message} | STATUS_UPDATE | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid message est mappé avec metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" command_line est mappée sur principal.process.command_line |
| /var/log/syslog.log | 2 mai 00:00:45 localhost fstrim[64727]: / 6,7 Gio (7205015552 octets) coupés | {collected_timestamp}{hostname}{command_line}(<champ_facultatif>|[{pid}]:{message} | STATUS_UPDATE | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid message est mappé avec metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" command_line est mappée sur principal.process.command_line |
| /var/log/syslog.log | 3 mai 10:14:37 localhost rsyslogd: ID utilisateur de rsyslogd remplacé par 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time est mappé avec metadata.collected_timestamp hostname est mappé sur principal.hostname message est mappé avec metadata.description user_id est mappé à principal.user.userid command_line est mappée sur principal.process.command_line metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| /var/log/syslog.log | 5 mai 10:36:48 localhost systemd[1]: lancement du service de journalisation système... | {collected_timestamp}{hostname}{command_line}(<champ_facultatif>|[{pid}]:{message} | STATUS_UPDATE | collect_time est mappé avec metadata.event_timestamp hostname est mappé sur principal.hostname pid est mappé sur principal.process.pid message est mappé avec metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" command_line est mappée sur principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname est mappé avec target.hostname application est mappée sur target.application pid est mappé à target.process.pid. metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/mail.log | 7 avr. 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-MAIL_NON_CATÉGORISÉ | target_hostname est mappé avec target.hostname application est mappée sur target.application pid est mappé à target.process.pid. metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/mail.log | 7 avr. 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01 | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname est mappé avec target.hostname application est mappée sur target.application pid est mappé à target.process.pid. resource_name est mappé à target.resource.name metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/mail.log | 7 avr. 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (file d'attente active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-MAIL_NON_CATÉGORISÉ | target_hostname est mappé avec target.hostname application est mappée sur target.application pid est mappé à target.process.pid. metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/mail.log | 7 avr. 13:44:01 prod postfix/smtp[23436]: connexion à gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: réseau inaccessible | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname est mappé avec target.hostname application est mappée sur target.application pid est mappé à target.process.pid. metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/mail.log | 7 avr. 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (envoyé à la boîte aux lettres) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-MAIL_NON_CATÉGORISÉ | target_hostname est mappé avec target.hostname application est mappée sur target.application pid est mappé à target.process.pid. metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accéder à la clé de configuration '[filterNames]' via la notation par points est obsolète et sera supprimé dans une prochaine version. Utilisez plutôt "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, à l'emplacement {command_line}\({file_path}:<text_message>\) |
STATUS_UPDATE | command_line est mappée sur "target.process.command_line" file_path est mappé sur "target.process.file.full_path" La valeur timestamp est mappée sur "metadata.event_timestamp" severity est mappé avec "security_result.severity" le résumé est mappé sur "security_result.summary" security_description est mappé sur "security_result.description" metadata.product_name est défini sur "OSSEC" metadata.vendor_name est définie sur "OSSEC" |
| /var/log/auth.log | 27 avr. 21:03:03 Ubuntu18 systemd-logind[836]: session 3080 supprimée. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]:{security_description}{network_session_id}?(de l'utilisateur {principal_user_userid}) ? | LOG_USER | timestamp est mappé avec "metadata.timestamp" Si metadata.event_type a la valeur USER_LOGOUT, alors nom_utilisateur_principal est mappé sur "target.hostname". Dans le cas contraire, il est mappé sur "principal.hostname". Si metadata.event_type a la valeur USER_LOGOUT, l'élément principal_application est mappé vers "target.application", sinon il est mappé vers "principal.application". Si metadata.event_type a la valeur USER_LOGOUT, le pid est mappé sur "target.process.pid", sinon il est mappé sur "principal.process.pid". security_description est mappé sur "security_result.description" network_session_id est mappé sur "network.session_id" Si la valeur de l'attribut metadata.event_type est USER_LOGOUT, l'identifiant "principal_user_userid" est mis en correspondance avec "principal.user.userid", mais avec "target.user.userid". "principal.platform" est mappé à "LINUX". if(removed_session) event_type est défini sur USER_LOGOUT extensions.auth.type défini sur AUTHTYPE_UNSPECIFIED metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/auth.log | 28 avr. 11:33:24 Ubuntu18 systemd-logind[836]: nouvelle session 3205 de l'utilisateur root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]:{security_description}{network_session_id}?(de l'utilisateur {principal_user_userid}) ? | CONNEXION_USER | timestamp est mappé avec "metadata.timestamp" Si metadata.event_type a la valeur USER_LOGOUT, alors nom_utilisateur_principal est mappé sur "target.hostname". Dans le cas contraire, il est mappé sur "principal.hostname". Si metadata.event_type a la valeur USER_LOGOUT, l'élément principal_application est mappé vers "target.application", sinon il est mappé vers "principal.application". Si metadata.event_type a la valeur USER_LOGOUT, le pid est mappé sur "target.process.pid", sinon il est mappé sur "principal.process.pid". security_description est mappé sur "security_result.description" network_session_id est mappé sur "network.session_id" Si la valeur de l'attribut metadata.event_type est USER_LOGOUT, l'identifiant "principal_user_userid" est mis en correspondance avec "principal.user.userid", mais avec "target.user.userid". "principal.platform" est mappé à "LINUX". "network.application_protocol" est mappé sur "SSH" if(new_session) event_type est défini sur USER_LOGIN extensions.auth.type défini sur AUTHTYPE_UNSPECIFIED metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/auth.log | 28 avr. 11:35:31 Ubuntu18 sshd[23573]: Mot de passe accepté pour la racine 10.0.1.1 (port 40503) ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} pour (invalid user )?{principal_user_userid} depuis {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds__ds}) ; | CONNEXION_USER | timestamp est mappé avec "metadata.timestamp" Si metadata.event_type a la valeur USER_LOGOUT, alors nom_utilisateur_principal est mappé sur "target.hostname". Dans le cas contraire, il est mappé sur "principal.hostname". Si metadata.event_type a la valeur USER_LOGOUT, l'élément principal_application est mappé vers "target.application", sinon il est mappé vers "principal.application". Si metadata.event_type a la valeur USER_LOGOUT, le pid est mappé sur "target.process.pid", sinon il est mappé sur "principal.process.pid". security_description est mappé sur "security_result.description" Si la valeur de l'attribut metadata.event_type est USER_LOGOUT, l'identifiant "principal_user_userid" est mis en correspondance avec "principal.user.userid", mais avec "target.user.userid". principal_ip est mappé sur "principal.ip". compte_port est mappé sur "principal.port". security_result_detection_fields_ssh_kv est mappé sur "security_result.detection_fields.key/value" security_result_detection_fields_kv est mappé sur "security_result.detection_fields.key/value" "principal.platform" est défini sur "LINUX" "network.application_protocol" est défini sur "SSH" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/auth.log | 28 avr. 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): failed authentication; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv}?tty=(<_message_texte>?utilisateur_utilisateur_principal}?utilisateur_utilisateur_principal)?ruser=kid}?ruser=utilisateur}) | CONNEXION_USER | timestamp est mappé avec "metadata.timestamp" Si metadata.event_type a la valeur USER_LOGOUT, alors nom_utilisateur_principal est mappé sur "target.hostname". Dans le cas contraire, il est mappé sur "principal.hostname". Si metadata.event_type a la valeur USER_LOGOUT, l'élément principal_application est mappé vers "target.application", sinon il est mappé vers "principal.application". Si metadata.event_type a la valeur USER_LOGOUT, le pid est mappé sur "target.process.pid", sinon il est mappé sur "principal.process.pid". security_description est mappé sur "security_result.description" principal_user_uuserid est mappé sur "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv est mappé sur "principal.user.attribute.labels.key/value" principal_ruser_userid est mappé sur "principal.user.attribute.labels.key/value" target_ip est mappée sur "target.ip" Si la valeur de metadata.event_type est USER_LOGOUT, alors "principal_user_userid" est mappé sur "principal.user.userid", sinon il est mis en correspondance avec "target.user.userid". "principal.platform" est défini sur "LINUX" "network.application_protocol" est défini sur "SSH" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/auth.log | 24 février 00:13:02 exact32 sudo: tsg : utilisateur NON dans sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command}. | STATUS_UPDATE | La valeur timestamp est mappée sur metadata.timestamp nom_hôte_principal est mappé sur nom_hôte_principal. principal_application est mappé vers principal.application pid est mappé sur principal.process.pid principal_user_userid est mappé à target.user.userid security_description est mappé sur "security_result.description" principal_process_command_line_1 est mappé sur "principal.process.command_line". principal_process_command_line_2 est mappé sur "principal.process.command_line". principal_user_attribute_labels_uid_kv est mappé sur "principal.user.attribute.labels.key/value" "principal.platform" est défini sur "LINUX" |
| /var/log/auth.log | 26 avr. 07:39:01 CRON Ubuntu18[2126]: pam_unix(cron:session): session ouverte à la racine par (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} pour (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv})??) | CONNEXION_USER | La valeur timestamp est mappée sur metadata.timestamp Si metadata.event_type a la valeur USER_LOGOUT, alors nom_utilisateur_principal est mappé sur "target.hostname". Dans le cas contraire, il est mappé sur "principal.hostname". Si metadata.event_type a la valeur USER_LOGOUT, l'élément principal_application est mappé vers "target.application", sinon il est mappé vers "principal.application". Si metadata.event_type a la valeur USER_LOGOUT, le pid est mappé sur "target.process.pid", sinon il est mappé sur "principal.process.pid". security_description est mappé sur "security_result.description" Si la valeur de l'attribut metadata.event_type est USER_LOGOUT, l'identifiant "principal_user_userid" est mis en correspondance avec "principal.user.userid", mais avec "target.user.userid". principal_user_attribute_labels_uid_kv est mappé sur "principal.user.attribute.labels.key/value" "principal.platform" est défini sur "LINUX" "network.application_protocol" est défini sur "SSH" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/auth.log | 26 avr. 07:39:01 CRON Ubuntu18[2126]: pam_unix(cron:session): session fermée pour l'utilisateur racine | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} pour (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv})??) | LOG_USER | La valeur timestamp est mappée sur metadata.timestamp Si metadata.event_type a la valeur USER_LOGOUT, alors nom_utilisateur_principal est mappé sur "target.hostname". Dans le cas contraire, il est mappé sur "principal.hostname". Si metadata.event_type a la valeur USER_LOGOUT, l'élément principal_application est mappé vers "target.application", sinon il est mappé vers "principal.application". Si metadata.event_type a la valeur USER_LOGOUT, le pid est mappé sur "target.process.pid", sinon il est mappé sur "principal.process.pid". security_description est mappé sur "security_result.description" Si la valeur de l'attribut metadata.event_type est USER_LOGOUT, l'identifiant "principal_user_userid" est mis en correspondance avec "principal.user.userid", mais avec "target.user.userid". principal_user_attribute_labels_uid_kv est mappé sur principal.user.attribute.labels.key/value "principal.platform" est défini sur "LINUX" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| /var/log/auth.log | 24 mai 12:56:31 ip-10-50-2-176 sshd[119931]: expiration du délai, le client ne répond pas. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description}. | STATUS_UPDATE | La valeur timestamp est mappée sur metadata.timestamp nom_hôte_principal est mappé sur nom_hôte_principal. principal_application est mappé vers principal.application pid est mappé sur principal.process.pid security_result_description est mappé avec security_result_description "principal.platform" est défini sur "LINUX" metadata.vendor_name est définie sur OSSEC metadata.product_name est défini sur OSSEC |
| var/log/samba/log.winbindd | [05/05/2022 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: effacement du cache et recréation avec la version 2 | {timestamp},{severity}(<champ_facultatif>,pid={pid},effectif({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))??<message_texte>:{security_description} | STATUS_UPDATE | timestamp est mappé avec "metadata.timestamp" pid est mappé sur "principal.process.pid". principal_user_attribute_labels_kv est mappé sur "principal.user.attribute.labels". principal_group_attribute_labels_kv est mappé sur "principal.group.attribute.labels". principal_user_userid est mappé sur "principal.user.userid" principal_group_product_object_id est mappé sur "principal.group.product_object_id" security_description est mappé sur "security_result.description" metadata_description est mappée sur "metadata.description" metadata.product_name est défini sur "OSSEC" "metadata.vendor_name" est défini sur "OSSEC" |
| var/log/samba/log.winbindd | message_dgm_init: échec de la liaison: espace insuffisant sur l'appareil. | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name est défini sur "OSSEC" metadata.vendor_name" est défini sur "OSSEC" user_id est mappé à principal.user.userid desc est mappé sur metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: 2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.2.2.2.1,25 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<champ_facultatif>'|")<message_text>-<message_texte>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<facultatif_champ>'|) | NETWORK_HTTP | La valeur timestamp est mappée sur metadata.timestamp log_level est mappé à security_result.severity local_ip est mappé avec principal.ip target_ip est mappée sur target.ip target_hostname est mappé avec principal.hostname port mappé sur target.port utilisateur est mappé avec principal.user.user_display_name metadata.vendor_name est défini sur "OpenVPN" metadata.product_name est défini sur "OpenVPN Access Server" principal.platform est défini sur "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] SORTIE : 2022-04-28 16:14:13 versions de la bibliothèque: OpenSSL 1.1.1 11 sept. 2018, LZO 2.08 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<champ_facultatif>'|")<message_texte>{msg}(<champ_facultatif>'|) | STATUS_UPDATE | La valeur timestamp est mappée sur metadata.timestamp log_level est mappé à security_result.severity Le message est mappé sur security_result.description metadata.vendor_name est défini sur "OpenVPN" metadata.product_name est défini sur "OpenVPN Access Server" principal.platform est défini sur "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] SORTIE : 2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Connexion à un pair : [AF_060] | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<champ_facultatif>'|")<message_texte>{message}(<champ_facultatif>'|)
message est mappé avec <message_text>avec[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | La valeur timestamp est mappée sur metadata.timestamp log_level est mappé à security_result.severity message est mappé avec security_result.description metadata.vendor_name est défini sur "OpenVPN" metadata.product_name est défini sur "OpenVPN Access Server" principal.platform est défini sur "LINUX" |
| var/log/openvpnas.log | : | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<champ_facultatif>'|")<message_text>{user}\/{ip}:{message}(<champ_facultatif>'|) | STATUS_UPDATE | La valeur timestamp est mappée sur metadata.timestamp log_level est mappé à security_result.severity message est mappé avec security_result.description utilisateur est mappé avec principal.user.user_display_name ip est mappée sur principal.ip metadata.vendor_name est défini sur "OpenVPN" metadata.product_name est défini sur "OpenVPN Access Server" principal.platform est défini sur "LINUX" |
| var/log/openvpnas.log | : | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'nom_commun':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | La valeur timestamp est mappée sur metadata.timestamp log_level est mappé à security_result.severity message est mappé avec security_result.description Le résumé est mappé sur security_result.summary user_name est mappé vers principal.user.user_display_name Clim est mappé sur principal.process.command_line état est mappé avec principal.user.user_authentication_status metadata.vendor_name est défini sur "OpenVPN" metadata.product_name est défini sur "OpenVPN Access Server" principal.platform est défini sur "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType dans la feuille actuelle Journaux de l'onglet de mappage EventType | audit_log_type est mappé sur metadata.product_event_type metadata_ingested_timestamp est mappé sur "metadata.event_timestamp" metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.plateform est défini sur "LINUX" Les données sont mappées à la paire clé-valeur > Mappage UDM dans l'onglet "audit.log" de la feuille active. |
| var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFO: lancement de l'analyse syscheck | {timestamp} {application}(({pid}))<champ_facultatif>{severity}:{description_métadonnées) | STATUS_UPDATE | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity metadata_description est mappée sur metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>):{command_line> | PROCÉDURE_NON_CATÉGORÉE | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity command_line est mappée sur target.process.command_line metadata_description est mappée sur metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-analysisd(1210): ERROR: File d'attente "/queue/alerts/ar" inaccessible : "Connexion refusée". | {timestamp} {application}(({pid}))<optional_field>{severity}: file d'attente '{resource}'<message_text>:'{metadata_description}' | RESSOURCES_USER_ACCESS | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity metadata_description est mappée sur metadata.description La ressource est mappée sur target.resource.name metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector(1950): INFO: analyse du fichier : /var/log/rundeck/rundeck.log. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>:'{fichier_chemin}') | FILE_UNCATEGORIZED (Fichier non agrégé) | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity file_path est mappé avec target.file.full_path metadata_description est mappée sur metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:25 ossec-syscheckd : INFO: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl" | {timestamp} {application}(({pid}))<champ_facultatif>{severity}:<texte_message>ignorant<texte_message>:'{fichier_chemin}' | SCAN_PROCESS | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity file_path est mappé avec target.file.full_path metadata.vendor_name est définie sur OSSEC metadata.product_name est défini sur OSSEC |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1410): INFO: lecture du fichier de clés d'authentification | {timestamp} {application}(({pid}))<champ_facultatif>{severity}:{description_métadonnées) | STATUS_UPDATE | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity metadata_description est mappée sur metadata.description metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1103): ERREUR: impossible d'ouvrir le fichier "/queue/rids/004" en raison de [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>fichier<message_text>) '{file_path}''<message_text>[({erreur_code})-({erreur_métadonnées_description}) | FILE_UNCATEGORIZED (Fichier non agrégé) | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity file_path est mappé avec target.file.full_path metadata_description est mappée sur metadata.description error_code est mappé avec security_result.summary error_metadata_description est mappé vers security_result.summary metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERREUR: impossible de lier le port "1514" | {timestamp} {application}(({pid}))<champ_facultatif>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity metadata_description est mappée sur metadata.description port mappé sur target.port metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 : 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml: | {timestamp} {application}(({pid}))<champ_facultatif>{severity}:{metadata_description}''{file_path}' | FILE_READ (LIRE_FICHIER) | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity metadata_description est mappée sur metadata.description file_path est mappé avec target.file.full_path metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<champ_facultatif>{severity}:<texte_message>(ignorant|fichier ignoré)<message_text>:'{file_path}' | FILE_UNCATEGORIZED (Fichier non agrégé) | application est mappée sur target.application pid est mappé à target.process.pid. La gravité est mappée sur security_result.severity file_path est mappé avec target.file.full_path metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" |
| processus ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | Protocole mappé à network.ip_protocol pid est mappé sur principal.process.pid metadata.description est définie sur le nom du programme: %{process_name} metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
| syscheck | Fichier "/usr/bin/fwts" modifié | Fichier "{file_path}" {description} | MODIFICATION DU FICHIER | la description est mappée sur metadata.description file_path est mappé avec target.file.full_path metadata.vendor_name est définie sur "OSSEC" metadata.product_name est défini sur "OSSEC" principal.platform est défini sur "LINUX" |
Audit
Champs de journal d'audit vers les champs UDM
Le tableau suivant répertorie les champs de journal du type de journal d'audit et les champs UDM correspondants.
| Champ du journal | Champ UDM |
|---|---|
| compte | target.user.user_display_name |
| additionneur | compte.ip |
| arch | about.labels.clé/valeur |
| Auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | application.cible |
| cwd | target.file.full_path |
| données ou y ayant accédé. | about.labels.clé/valeur |
| Devmajor | about.labels.clé/valeur |
| Devminor | about.labels.clé/valeur |
| Egid | target.group.product_object_id |
| Euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| famille | network.ip_protocol est défini sur "IP6IN4" si "ip_protocol" == 2, il est défini sur "UNKNOWN_IP_PROTOCOL" |
| typede fichier | target.file.mime_type |
| fsgid | target.group.product_object_id |
| Fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| ICMP | network.ip_protocol est défini sur "ICMP" |
| id | Si [audit_log_type] == "ADD_USER", target.user.userid est défini sur "%{id}"
Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id est défini sur "%{id}" else target.user.attribute.labels.key/value est défini sur id |
| inode | target.resource.product_object_id |
| clé | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/valeur |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| nouveau-disque | target.resource.name |
| nouvelle maman | target.resource.attribute.labels.key/value |
| nouveau-vCPU | target.resource.attribute.labels.key/value |
| nouveau-net | pincipal.mac |
| nouveau_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| opid | target.process.pid |
| Eoses | id_session_réseau |
| Ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| rôle_obj | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| utilisateur_obj | target.user.user_display_name |
| Ogid | target.group.product_object_id |
| Ouid | target.user.userid |
| chemin d'accès | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Si [ip_protocol] == 2, network.ip_protocol est défini sur "IP6IN4".
else network.ip_protocol est défini sur "UNKNOWN_IP_PROTOCOL" |
| résolution | security_result.summary |
| résultat | security_result.summary |
| tristesse | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ses | id_session_réseau |
| Sgid | target.group.product_object_id |
| Sig | security_result.detection_fields.key/value |
| utilisateur_jj | target.user.user_display_name |
| success | Si success=='yes', securtiy_result.summary est défini sur 'system call was successful'
else securtiy_result.summary est défini sur "systemcall was failed" (échec de l'appel système) |
| Suid | target.user.userid |
| appel système | about.labels.clé/valeur |
| terminal | target.labels.key/value |
| ATS | target.labels.key/value |
| uid | Si [audit_log_type] dans [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD est USER_CMD, USER_CM
Sinon, l'uid est défini sur target.user.userid |
| vm | target.resource.name |
Types de journaux d'audit vers le type d'événement UDM
Le tableau suivant répertorie les types de journaux d'audit et les types d'événements UDM correspondants.
| Type de journal d'audit | Type d'événement UDM | Description |
|---|---|---|
| ADD_GROUP | CRÉATION_GROUPE | Déclenché lorsqu'un groupe d'espaces utilisateur est ajouté. |
| ADD_USER | CRÉATION_UTILISATEUR | Déclenchement lorsqu'un compte utilisateur d'espace utilisateur est ajouté. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Déclenchement lorsqu'un processus se termine de manière anormale (avec un signal pouvant entraîner un vidage de mémoire interne, s'il est activé). |
| AVC | GENERIC_EVENT | Déclenché pour enregistrer une vérification des autorisations SELinux. |
| CONFIG_MODIFIER | USER_RESOURCE_UPDATE_CONTENT | Déclenché lorsque la configuration du système d'audit est modifiée. |
| CRED_ACQ | CONNEXION_USER | Déclenchement lorsqu'un utilisateur acquiert des identifiants d'espace utilisateur. |
| CRED_DISP | LOG_USER | Déclenchement lorsqu'un utilisateur supprime les identifiants de l'espace utilisateur. |
| CRED_REFR | CONNEXION_USER | Déclenchement lorsqu'un utilisateur actualise ses identifiants d'espace utilisateur. |
| CRYPTO_KEY_USER | RESSOURCES_USER_ACCESS | Déclenché pour enregistrer l'identifiant de clé cryptographique utilisé à des fins cryptographiques. |
| CRYPTO_SESSION | TERMINATION DU PROCESSUS | Déclenché pour enregistrer les paramètres définis lors d'une session TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Déclenché pour enregistrer le répertoire de travail actuel. |
| DAEMON_ABORT | TERMINATION DU PROCESSUS | Déclenché lorsqu'un daemon est arrêté en raison d'une erreur. |
| DAEMON_END | TERMINATION DU PROCESSUS | Déclenché lorsqu'un daemon est arrêté. |
| DAEMON_RESUME | PROCÉDURE_NON_CATÉGORÉE | Déclenché lorsque le daemon audité reprend la journalisation. |
| DAEMON_ROTATE | PROCÉDURE_NON_CATÉGORÉE | Déclenché lorsque le daemon auditd alterne les fichiers journaux d'audit. |
| DAEMON_START | LANCEMENT DE PROCESSUS | Déclenché lors du démarrage du daemon audité. |
| DEL_GROUP | SUPPRESSION DU GROUPE | Déclenché lorsqu'un groupe d'espaces utilisateur est supprimé |
| En attente | SUPPRESSION_USER | Déclenché lorsqu'un utilisateur de l'espace utilisateur est supprimé |
| EXECVE | LANCEMENT DE PROCESSUS | Déclenché pour enregistrer les arguments de l'appel système execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Déclenché lorsqu'une valeur booléenne SELinux est modifiée. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Déclenché pour enregistrer des informations sur un événement IPSec, lorsqu'un événement est détecté ou lorsque la configuration IPSec change. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Déclenché lorsqu'un fichier de règles SELinux est chargé. |
| MAC_STATUS | GENERIC_EVENT | Déclenché lorsque le mode SELinux (application forcée, permissive, désactivé) est modifié. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Déclenché lorsqu'une étiquette statique est ajoutée lorsque vous utilisez les fonctionnalités d'étiquetage de paquets du noyau fournies par NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Déclenché lorsque des modifications de la chaîne Netfilter sont détectées. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Déclenchement permettant d'enregistrer des informations sur un processus auquel un signal est envoyé. |
| CHEMIN | FILE_OPEN/GENERIC_EVENT | Déclenché pour enregistrer les informations de chemin d'accès du nom de fichier. |
| SELINUX_ERR (SELINUX_ERR) | GENERIC_EVENT | Déclenché lorsqu'une erreur SELinux interne est détectée. |
| SERVICE_START | SERVICE_START | Déclenché lorsqu'un service est démarré. |
| SERVICE_STOP (ARRÊT DE SERVICE) | SERVICE_STOP (ARRÊT DE SERVICE) | Déclenché lorsqu'un service est arrêté. |
| SYSCALL | GENERIC_EVENT | Déclenché pour enregistrer un appel système au noyau. |
| SYSTÈME | STATUS_STARTUP | Déclenché lors du démarrage du système. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Déclenché lorsque le niveau d'exécution du système est modifié. |
| SYSTÈME_ARRÊT | STATUS_SHUTDOWN | Déclenché lorsque le système est arrêté. |
| ACC_USER | SETTING_MODIFICATION | Déclenché lorsqu'un compte utilisateur de l'espace utilisateur est modifié. |
| USER_AUTH | CONNEXION_USER | Déclenché lorsqu'une tentative d'authentification de l'espace utilisateur est détectée. |
| CAR | USER_UNCATEGORIZED (USER_NON_CATÉGORISÉ) | Déclenché lorsqu'un message AVC d'espace utilisateur est généré. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Déclenché lorsqu'un attribut de compte utilisateur est modifié. |
| CMD_USER | COMMUNICATION_USER_INTERUNICATION | Déclenché lorsqu'une commande shell d'espace utilisateur est exécutée. |
| USER_END | LOG_USER | Déclenché lorsqu'une session d'espace utilisateur est interrompue. |
| USER_ERR | USER_UNCATEGORIZED (USER_NON_CATÉGORISÉ) | Déclenché lorsqu'une erreur d'état de compte utilisateur est détectée. |
| CONNEXION_USER | CONNEXION_USER | Déclenchement lorsqu'un utilisateur se connecte. |
| LOG_USER | LOG_USER | Déclenchement lorsqu'un utilisateur se déconnecte. |
| USER_MAC_POLICY_LOAD | RESSOURCE_LECTURE | Déclenché lorsqu'un daemon d'espace utilisateur charge une règle SELinux. |
| MUSER_GMT | USER_UNCATEGORIZED (USER_NON_CATÉGORISÉ) | Déclenché pour enregistrer les données de gestion de l'espace utilisateur. |
| USER_ROLE_CHANGE | AUTORISATIONS_UTILISATEUR | Déclenché lorsque le rôle SELinux d'un utilisateur est modifié. |
| USER_START | CONNEXION_USER | Déclenché lorsqu'une session d'espace utilisateur est démarrée. |
| CONFIG_USYS | USER_RESOURCE_UPDATE_CONTENT | Déclenché lorsqu'une modification de la configuration du système d'espace utilisateur est détectée. |
| VIRTUEL_CONTRÔLE | STATUS_UPDATE | Déclenchement lorsqu'une machine virtuelle est démarrée, mise en pause ou arrêtée. |
| ID_MACHINE_VIRTEUR | RESSOURCES_USER_ACCESS | Déclenché pour enregistrer la liaison d'un libellé à une machine virtuelle. |
| VIRT_RESOURCE | RESSOURCES_USER_ACCESS | Déclenché pour enregistrer l'attribution de ressources d'une machine virtuelle. |
Messagerie
Champs de journal de messagerie dans les champs UDM
Le tableau suivant répertorie les champs de journal du type de journal de messagerie et les champs UDM correspondants.
| Champ du journal | Champ UDM |
|---|---|
| Classe | about.labels.clé/valeur |
| Télécommande | nom.utilisateur.utilisateur_à_afficher |
| De | Adresse e-mail du réseau |
| Msgid | network.email.mail_id (id |
| Proto | Protocole d'application |
| Relais | intermediary.hostname
intermediary.ip |
| Taille | network.received_bytes |
| Statistiques | security_result.summary |
| à une | network.email.to |
Types de journaux de messagerie envoyés au type d'événement UDM
Le tableau suivant répertorie les types de journaux de messagerie et les types d'événements UDM correspondants.
| Type de journal des e-mails | Type d'événement UDM |
|---|---|
| envoyer un message | GENERIC_EVENT |
| pickup | E-MAIL_NON_CATÉGORISÉ |
| cleanup | GENERIC_EVENT |
| qmgr | E-MAIL_NON_CATÉGORISÉ |
| smtp | GENERIC_EVENT |
| local | E-MAIL_NON_CATÉGORISÉ |