Mengumpulkan log OSSEC
Dokumen ini menjelaskan cara mengumpulkan log OSSEC dengan mengonfigurasi OSSEC dan penerusan Chronicle. Dokumen ini juga mencantumkan jenis log yang didukung dan versi OSSEC yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Chronicle.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara agen dan server OSSEC dikonfigurasi untuk mengirim log ke Chronicle. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
sistem Linux. Sistem Linux yang akan dipantau. Sistem Linux terdiri dari file yang akan dipantau dan agen OSSEC.
Sistem Microsoft Windows. Sistem Microsoft Windows yang harus dipantau tempat agen OSSEC diinstal.
Agen OSSEC. Agen OSSEC mengumpulkan informasi dari sistem Microsoft Windows atau Linux dan meneruskan informasi tersebut ke server OSSEC.
Server OSSEC. Server OSSEC memantau dan menerima informasi dari agen OSSEC. menganalisis log, dan meneruskan log ke penerus Chronicle.
Chronicle forwarder. Forwarder Chronicle adalah komponen software ringan yang di-deploy di jaringan pelanggan dan mendukung syslog. Forwarder Chronicle akan meneruskan log ke Chronicle.
Chronicle. Chronicle menyimpan dan menganalisis log dari server OSSEC.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label penyerapan OSSEC.
Sebelum memulai
Pastikan agen OSSEC diinstal di sistem Microsoft Windows atau Linux yang akan Anda pantau. Untuk informasi selengkapnya tentang cara menginstal agen OSSEC, lihat Penginstalan OSSEC
Gunakan versi OSSEC yang didukung parser Chronicle. Pengurai Chronicle mendukung OSSEC versi 3.6.0.
Pastikan server OSSEC telah diinstal dan dikonfigurasi di server Linux pusat.
Verifikasi jenis log yang didukung parser Chronicle. Tabel berikut mencantumkan produk dan jalur file log yang didukung parser Chronicle:
Sistem operasi Produk Jalur file log Microsoft Windows Microsoft Windows Log peristiwa Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux - Server OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux Musik Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.
Konfigurasi agen dan server OSSEC, serta penerus Chronicle
Untuk mengonfigurasi agen dan server OSSEC, serta penerusan Chronicle, lakukan hal berikut:
Untuk memantau log yang dihasilkan sistem Linux, buat file
ossec.confuntuk menentukan konfigurasi pemantauan log bagi agen. Berikut ini contoh file konfigurasi untuk agen di sistem Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Untuk memantau log yang dihasilkan sistem Microsoft Windows, buat file
ossec.confuntuk menentukan konfigurasi pemantauan log untuk agen. Berikut ini contoh file konfigurasi untuk agen di sistem Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Untuk meneruskan log dari server OSSEC ke Chronicle menggunakan protokol syslog, buat file konfigurasi server OSSEC
syslog.confdalam format berikut:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Konfigurasikan penerusan Chronicle untuk mengirim log ke Chronicle. Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi penerusan Chronicle:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser Chronicle menerapkan pola grok untuk sistem Linux dan Microsoft Windows, serta memetakan kolom log OSSEC ke kolom Chronicle Unified Data Model (UDM) untuk setiap jenis log.
Untuk informasi tentang referensi pemetaan kolom umum, lihat Kolom umum
Untuk mengetahui informasi referensi tentang jalur log, pola grok misalnya log, jenis peristiwa, dan kolom UDM pada sistem Linux, lihat bagian berikut:
Untuk mengetahui informasi tentang peristiwa Microsoft Windows yang didukung dan kolom UDM yang sesuai, lihat Data peristiwa Microsoft Windows
Kolom umum
Tabel berikut mencantumkan kolom log umum dan kolom UDM yang sesuai.
| Kolom log umum | Kolom UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| application | principal.application |
| log | metadata.description |
| ip | target.ip atau principal.ip |
| hostname | target.nama host atau induk.nama host |
Sistem Linux
Tabel berikut mencantumkan jalur log untuk sistem Linux, pola grok untuk log contoh, jenis peristiwa, dan pemetaan UDM:
| Jalur log | Log contoh | Pola Grok | Jenis peristiwa | Pemetaan UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Kamis, 28 April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] gagal membuat koneksi | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Kamis 28 April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] gagal membuat koneksi | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid error_message dipetakan ke security_result.description network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Kamis, 28 April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target.platform disetel ke "LINUX" perujuk_url dipetakan ke network.http.referral_url |
| /var/log/apache2/error.log | Minggu 30 Januari 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: gagal membuat koneksi ke backend | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | stempel waktu dipetakan ke metadata.event_timestamp log_module dipetakan ke target.resource.name log_level dipetakan ke security_result.severity pid dipetakan ke target.process.parent_process.pid tid dipetakan ke target.process.pid client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port error_message dipetakan ke security_result.description target_ip dipetakan ke target.ip perujuk_url dipetakan ke network.http.referral_url network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 Feb 00:30:55 2019] Koneksi baru: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port connection_id dipetakan ke network.session_id network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 Feb 00:30:55 2019] Permintaan baru: [koneksi: j8BjX4Z5tjk] [permintaan: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp request_id dipetakan ke security_result.detection_fields.(kunci/nilai) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: AH00128: | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | stempel waktu dipetakan ke metadata.event_timestamp log_level dipetakan ke security_result.severity request_id dipetakan ke security_result.detection_fields.(kunci/nilai) client_ip dipetakan ke principal.ip client_port dipetakan ke principal.port pid dipetakan ke target.process.parent_process.pid connection_id dipetakan ke network.session_id error_message dipetakan ke security_result.description file_path dipetakan ke target.file.full_path network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Apple Safari/5.0 (Windows NT 10.0; | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.nama host stempel waktu dipetakan ke metadata.event_timestamp dipetakan ke network.http.method resource dipetakan ke principal.resource.name client_protocol dipetakan ke network.application_protocol result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host dipetakan ke target.nama host target_port dipetakan ke target.port client_ip dipetakan ke principal.ip userid dipetakan ke principal.user.userid host dipetakan ke principal.nama host stempel waktu dipetakan ke metadata.event_timestamp dipetakan ke network.http.method resource dipetakan ke principal.resource.name result_status dipetakan ke network.http.response_code object_size dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" network.application_protocol diatur ke "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | jalur dipetakan ke target.url perujuk_url dipetakan ke network.http.referral_url network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent dipetakan ke network.http.user_agent network.direction ditetapkan ke "OUTBOUND" target.platform disetel ke "LINUX" network.application_protocol diatur ke "HTTP" target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "Apache" metadata.product_name diatur ke "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/Mei/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0HTML3.0 (Windows NT 10.0; | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | waktu dipetakan ke metadata.timestamp ip dipetakan ke target.ip principal_ip dipetakan ke principal.ip Principal_user_userid dipetakan ke principal.user.userid metadata_timestamp dipetakan ke stempel waktu http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protokol dipetakan ke network.application_protocol = (HTTP) response_code dipetakan ke network.http.response_code menerima_byte dipetakan ke network.sent_bytes perujuk_url dipetakan ke network.http.referral_url user_agent dipetakan ke network.http.user_agent target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
| var/log/nginx/error.log | 29/01/2022 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" gagal (2: Tidak ada file atau direktori tersebut), klien: 192.0.2.1, server: localhost, permintaan: \"_GET /nginx.80 | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 dipetakan ke "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_nama host}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id dipetakan ke principal.process.pid tingkat keparahan dipetakan ke security_result.severity (debug dipetakan ke UNKNOWN_SEVERITY, info dipetakan ke INFORMASI, pemberitahuan dipetakan ke RENDAH, peringatan dipetakan ke MEDIUM, error dipetakan ke ERROR, kritik dipetakan ke CRITIS, peringatan dipetakan ke TINGGI) target_file_full_path dipetakan ke target.file.full_path principal_ip dipetakan ke principal.ip target_nama host dipetakan ke target.nama host http_method dipetakan ke network.http.method resource_name dipetakan ke principal.resource.name protokol dipetakan ke "TCP" target_ip dipetakan ke target.ip target_port dipetakan ke target.port security_description + security_result_description_2 dipetakan ke security_result.description pid dipetakan ke principal.process.parent_process.pid network.application_protocol diatur ke "HTTP" stempel waktu dipetakan ke %{year}/%{day}/%{month} %{time} target.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "NGINX" metadata.product_name ditetapkan ke "NGINX" network.ip_protocol diatur ke "TCP" network.direction ditetapkan ke "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Pemeriksaan perintah yang diperlukan gagal | [<message_text>]{security_description} | STATUS_UPDATE | waktu dipetakan ke metadata.timestamp securtiy_description dipetakan ke security_result.description Principal.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name disetel ke "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Memeriksa file '/dev/.oz/.nap/rkit/terror' [ Tidak ditemukan ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path security_description dipetakan ke security_result.description Principal.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name disetel ke "RootKit Hunter" |
| var/log/rkhunter.log | ossec: Ukuran file dikurangi (inode tetap): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | waktu dipetakan ke metadata.timestamp metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path Principal.platform disetel ke "LINUX" metadata.vendor_name ditetapkan ke "RootKit Hunter" metadata.product_name disetel ke "RootKit Hunter" |
| /var/log/kern.log | Jul 7 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | stempel waktu dipetakan ke "metadata.event_timestamp" principal_host dipetakan ke "principal.nama host" metadata_product_event_type dipetakan ke "metadata.product_event_type" target_ip dipetakan ke "target.ip" principal_ip dipetakan ke "principal.ip" target_user_userid dipetakan ke "target.user.userid" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| /var/log/kern.log | 25 Oktober 10:10:51 kernel localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" Operations="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_Hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_host dipetakan ke "principal.nama host" metadata_product_event_type dipetakan ke "metadata.product_event_type" metadata_description dipetakan ke "metadata.description" file_path dipetakan ke "principal.process.file" pid dipetakan ke "principal.process.pid" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: mendaftar dengan nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_host dipetakan ke "principal.nama host" metadata_product_event_type dipetakan ke "metadata.product_event_type" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (keluarga: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.event_timestamp" principal_host dipetakan ke "principal.nama host" metadata_product_event_type dipetakan ke "metadata.product_event_type" Principal_asset_hardware_cpu_model dipetakan ke "principal.asset.hardware.cpu_model" metadata_description dipetakan ke "metadata.description" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" cpu_model dipetakan ke principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 Jan 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid http_method dipetakan ke network.http.method response_code dipetakan ke network.http.response_code resource dipetakan ke target.url target_ip dipetakan ke target.ip penerimaan_byte dipetakan ke network.acceptd_bytes metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Menerima permintaan untuk agen baru (zsecmgr0000-0719) dari: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid log_level dipetakan ke security_result.severity pesan dipetakan ke metadata.description command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" target_ip dipetakan ke target.ip |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Koneksi baru dari 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid log_level dipetakan ke security_result.severity deskripsi dipetakan ke security_result.description command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| /var/log/syslog.log | 29 Jan 13:51:46 zynossec ossec-authd[1096]: 26/07/2021 23:13:03 ossec-authd: ERROR: Nama agen tidak valid zsecmgr0000-0719 (diduplikasi) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid log_level dipetakan ke security_result.severity deskripsi + alasan dipetakan ke security_result.description command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| /var/log/syslog.log | 2 Mei 06:25:01 localhost apachectl [64942]: AH00558: apache2: Tidak dapat menentukan dengan andal nama domain server yang sepenuhnya memenuhi syarat, menggunakan ::1. Setel perintah 'ServerName' secara global untuk menyembunyikan pesan ini | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | 2 Mei 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 byte) dipangkas | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/syslog.log | 3 Mei 10:14:37 {i>localhost rsyslogd<i}: {i>userid<i} rsyslogd berubah menjadi 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time dipetakan ke metadata.collected_timestamp nama host dipetakan ke principal.nama host pesan dipetakan ke metadata.description user_id dipetakan ke principal.user.userid command_line dipetakan ke principal.process.command_line metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| /var/log/syslog.log | 5 Mei 10:36:48 localhost systemd[1]: Memulai Layanan Pencatatan Sistem... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time dipetakan ke metadata.event_timestamp nama host dipetakan ke principal.nama host pid dipetakan ke principal.process.pid pesan dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" command_line dipetakan ke principal.process.command_line |
| /var/log/mail.log | 16 Mar 11:40:56 Ubuntu18 sendmail [9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.2093AtwH0 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 April 13:44:01 prod postfix/pickup [22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 April 13:44:01 prod postfix/pembersihan [23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server. | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid resource_name dipetakan ke target.resource.name metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 April 13:44:01 prod postfix/qmgr [3539]: AE4271627DB: from=<root@server. | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 April 13:44:01 prod postfix/smtp[23436]: hubungkan ke gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Jaringan tidak dapat dijangkau | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/mail.log | 7 April 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server. | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_nama host dipetakan ke target.nama host aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Mengakses kunci konfigurasi '[filterNames]' melalui notasi titik tidak digunakan lagi, dan akan dihapus dalam rilis mendatang. Sebagai gantinya, gunakan 'config.getProperty(key, targetClass)'. | [{timestamp}]{keparahan}{summary}\-{security_description}
, di {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line dipetakan ke "target.process.command_line" file_path dipetakan ke "target.process.file.full_path" stempel waktu dipetakan ke "metadata.event_timestamp" tingkat keparahan dipetakan ke "security_result.severity" Summary dipetakan ke "security_result.summary" security_description dipetakan ke "security_result.description" metadata.product_name ditetapkan ke "OSSEC" metadata.vendor_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 27 April 21:03:03 Ubuntu18 systemd-logind[836]: Dihapus sesi 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, maka principal_Hostname dipetakan ke "target.nama host". Jika tidak, peta akan dipetakan ke "principal.nama host". Jika metadata.event_type adalah USER_LOGOUT, principal_application dipetakan ke "target.application" jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid", jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid dipetakan ke "principal.user.userid", jika tidak, akan dipetakan ke "target.user.userid". "Principal.platform" dipetakan ke "LINUX" if(removed_session) event_type ditetapkan ke USER_LOGOUT extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 28 April 11:33:24 Ubuntu18 systemd-logind [836]: Sesi baru 3205 dari root pengguna. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, maka principal_Hostname dipetakan ke "target.nama host". Jika tidak, peta akan dipetakan ke "principal.nama host". Jika metadata.event_type adalah USER_LOGOUT, principal_application dipetakan ke "target.application" jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid", jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" network_session_id dipetakan ke "network.session_id" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid dipetakan ke "principal.user.userid", jika tidak, akan dipetakan ke "target.user.userid". "Principal.platform" dipetakan ke "LINUX" "network.application_protocol" dipetakan ke "SSH" if(new_session) event_type ditetapkan ke USER_LOGIN extensions.auth.type ditetapkan ke AUTHTYPE_UNSPECIFIED metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 28 April 11:35:31 Ubuntu18 sshd [23573]: Kata sandi yang diterima untuk root dari port 10.0.1.1 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, maka principal_Hostname dipetakan ke "target.nama host". Jika tidak, peta akan dipetakan ke "principal.nama host". Jika metadata.event_type adalah USER_LOGOUT, principal_application dipetakan ke "target.application" jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid", jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid dipetakan ke "principal.user.userid", jika tidak, akan dipetakan ke "target.user.userid". principal_ip dipetakan ke "principal.ip" Principal_port dipetakan ke "principal.port" security_result_detection_fields_ssh_kv dipetakan ke "security_result.detection_fields.key/value" security_result_detection_fields_kv dipetakan ke "security_result.detection_fields.key/value" "Principal.platform" disetel ke "LINUX" "network.application_protocol" disetel ke "SSH" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 28 April 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failed; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | stempel waktu dipetakan ke "metadata.timestamp" Jika metadata.event_type adalah USER_LOGOUT, maka principal_Hostname dipetakan ke "target.nama host". Jika tidak, peta akan dipetakan ke "principal.nama host". Jika metadata.event_type adalah USER_LOGOUT, principal_application dipetakan ke "target.application" jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid", jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" principal_user_uuserid dipetakan ke "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv dipetakan ke "principal.user.attribute.labels.key/value" principal_ruser_userid dipetakan ke "principal.user.attribute.labels.key/value" target_ip dipetakan ke "target.ip" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid dipetakan ke "principal.user.userid", jika tidak, peta akan dipetakan ke "target.user.userid" "Principal.platform" disetel ke "LINUX" "network.application_protocol" disetel ke "SSH" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 24 Februari 00:13:02 presisi32 sudo: tsg : pengguna TIDAK di sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp principal_Hostname dipetakan ke principal.Hostname principal_application dipetakan ke principal.application pid dipetakan ke principal.process.pid principal_user_userid dipetakan ke target.user.userid security_description dipetakan ke "security_result.description" Principal_process_command_line_1 dipetakan ke "principal.process.command_line" Principal_process_command_line_2 dipetakan ke "principal.process.command_line" principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "Principal.platform" disetel ke "LINUX" |
| /var/log/auth.log | 26 April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesi dibuka untuk root pengguna oleh (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | stempel waktu dipetakan ke metadata.timestamp Jika metadata.event_type adalah USER_LOGOUT, maka principal_Hostname dipetakan ke "target.nama host". Jika tidak, peta akan dipetakan ke "principal.nama host". Jika metadata.event_type adalah USER_LOGOUT, principal_application dipetakan ke "target.application" jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid", jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid dipetakan ke "principal.user.userid", jika tidak, akan dipetakan ke "target.user.userid". principal_user_attribute_labels_uid_kv dipetakan ke "principal.user.attribute.labels.key/value" "Principal.platform" disetel ke "LINUX" "network.application_protocol" disetel ke "SSH" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 26 April 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesi ditutup untuk root pengguna | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | stempel waktu dipetakan ke metadata.timestamp Jika metadata.event_type adalah USER_LOGOUT, maka principal_Hostname dipetakan ke "target.nama host". Jika tidak, peta akan dipetakan ke "principal.nama host". Jika metadata.event_type adalah USER_LOGOUT, principal_application dipetakan ke "target.application" jika tidak, akan dipetakan ke "principal.application". Jika metadata.event_type adalah USER_LOGOUT, pid akan dipetakan ke "target.process.pid", jika tidak, pid akan dipetakan ke "principal.process.pid". security_description dipetakan ke "security_result.description" Jika metadata.event_type adalah USER_LOGOUT, principal_user_userid dipetakan ke "principal.user.userid", jika tidak, akan dipetakan ke "target.user.userid". principal_user_attribute_labels_uid_kv dipetakan ke principal.user.attribute.labels.key/value "Principal.platform" disetel ke "LINUX" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| /var/log/auth.log | 24 Mei 12:56:31 ip-10-50-2-176 sshd[119931]: Waktu habis, klien tidak merespons. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp principal_Hostname dipetakan ke principal.Hostname principal_application dipetakan ke principal.application pid dipetakan ke principal.process.pid security_result_description dipetakan ke security_result_description "Principal.platform" disetel ke "LINUX" metadata.vendor_name ditetapkan ke OSSEC metadata.product_name ditetapkan ke OSSEC |
| var/log/samba/log.winbindd | [05/05/2022 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: menghapus cache dan membuat ulang dengan nomor versi 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | stempel waktu dipetakan ke "metadata.timestamp" pid dipetakan ke "principal.process.pid" principal_user_attribute_labels_kv dipetakan ke "principal.user.attribute.labels" principal_group_attribute_labels_kv dipetakan ke "principal.group.attribute.labels" Principal_user_userid dipetakan ke "principal.user.userid" Principal_group_product_object_id dipetakan ke "principal.group.product_object_id" security_description dipetakan ke "security_result.description" metadata_description dipetakan ke "metadata.description" metadata.product_name ditetapkan ke "OSSEC" "metadata.vendor_name" ditetapkan ke "OSSEC" |
| var/log/samba/log.winbindd | messaging_dgm_init: gagal mengikat: Tidak ada ruang tersisa di perangkat | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name ditetapkan ke "OSSEC" metadata.vendor_name" ditetapkan ke "OSSEC" user_id dipetakan ke principal.user.userid desc dipetakan ke metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.27.27 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_Hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity local_ip dipetakan ke principal.ip target_ip dipetakan ke target.ip target_nama host dipetakan ke principal.nama host port dipetakan ke target.port pengguna dipetakan ke principal.user.user_display_name metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] KELUAR: '2022-04-28 16:14:13 versi library: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Koneksi Peer Dimulai dengan [AF_INET5.10.5] | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
pesan dipetakan ke <message_text>dengan[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| var/log/openvpnas.log | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description pengguna dipetakan ke principal.user.user_display_name ip dipetakan ke principal.ip metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
|
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | stempel waktu dipetakan ke metadata.timestamp log_level dipetakan ke security_result.severity pesan dipetakan ke security_result.description Summary dipetakan ke security_result.summary user_name dipetakan ke principal.user.user_display_name cli dipetakan ke principal.process.command_line status dipetakan ke principal.user.user_authentication_status metadata.vendor_name ditetapkan ke "OpenVPN" metadata.product_name ditetapkan ke "OpenVPN Access Server" Principal.platform disetel ke "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="addd-update-utmp" exe | type={audit_log_type} |
EventType di sheet saat ini Audit log Tab pemetaan EventType | audit_log_type dipetakan ke metadata.product_event_type metadata_ingested_timestamp dipetakan ke "metadata.event_timestamp" metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.plateform disetel ke "LINUX" data dipetakan ke pasangan nilai kunci-> pemetaan UDM di tab audit.log sheet saat ini |
| var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFO: Memulai pemindaian syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector: INFO: Pemantauan output penuh perintah(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity command_line dipetakan ke target.process.command_line metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' tidak dapat diakses: 'Koneksi ditolak'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description resource dipetakan ke target.resource.name metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Menganalisis file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:25 ossec-syscheckd: INFO: mengabaikan: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke OSSEC metadata.product_name ditetapkan ke OSSEC |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1410): INFO: Membaca file kunci otentikasi. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Tidak dapat membuka file '/queue/rids/004' karena [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata_description dipetakan ke metadata.description error_code dipetakan ke security_result.summary error_metadata_description dipetakan ke security_result.summary metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERROR: Tidak dapat Mengikat port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description port dipetakan ke target.port metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:05 ossec-analysisd: INFO: Membaca file aturan: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity metadata_description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:06 ossec-analysisd: INFO: Mengabaikan file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | aplikasi dipetakan ke target.application pid dipetakan ke target.process.pid tingkat keparahan dipetakan ke security_result.severity file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" |
| proses ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | Protokol dipetakan ke network.ip_protocol pid dipetakan ke principal.process.pid metadata.description ditetapkan ke Nama program: %{process_name} metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
| {i>syscheck<i} | File '/usr/bin/fwts' diubah | File '{file_path}' {description} | FILE_MODIFICATION | description dipetakan ke metadata.description file_path dipetakan ke target.file.full_path metadata.vendor_name ditetapkan ke "OSSEC" metadata.product_name ditetapkan ke "OSSEC" Principal.platform disetel ke "LINUX" |
Audit
Kolom log audit ke kolom UDM
Tabel berikut mencantumkan kolom log jenis log audit dan kolom UDM yang sesuai.
| Kolom log | Kolom UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| Auid | target.user.userid |
| grup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| data | about.labels.key/value |
| Devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| Egi | target.group.product_object_id |
| EUID | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| keluarga | network.ip_protocol disetel ke "IP6IN4" jika "ip_protocol" == 2 lagi yang disetel ke "UNKNOWN_IP_PROTOCOL" |
| jenis file | target.file.mime_type |
| {i>fsgid<i} | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| {i>icmptype<i} | network.ip_protocol disetel ke "ICMP" |
| id | Jika [audit_log_type] == "ADD_USER", target.user.userid ditetapkan ke "%{id}"
Jika [audit_log_type] == "ADD_GROUP", target.group.product_object_id ditetapkan ke "%{id}" else target.user.attribute.labels.key/value ditetapkan ke id |
| {i>inode<i} | target.resource.product_object_id |
| kunci | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| {i>new-vcpu<i} | target.resource.attribute.labels.key/value |
| bersih-baru | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| opid | target.process.pid |
| Oses | network.session_id |
| Ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| Ouid | target.user.userid |
| jalur | target.file.full_path |
| Perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Jika [ip_protocol] == 2, network.ip_protocol diatur ke "IP6IN4"
else network.ip_protocol disetel ke "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| hasil | security_result.summary |
| sedih | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| Sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| berhasil | Jika berhasil=='yes', securtiy_result.summary ditetapkan ke 'system call was successfully'
else securtiy_result.summary ditetapkan ke 'systemcall was failed' |
| Suid | target.user.userid |
| {i>syscall<i} | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Jika [audit_log_type] di [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_MAC, Principal.
else uid diatur ke target.user.userid |
| vm | target.resource.name |
Jenis log audit ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log audit dan jenis peristiwa UDM yang sesuai.
| Jenis log audit | Jenis peristiwa UDM | Deskripsi |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Dipicu saat grup ruang pengguna ditambahkan. |
| ADD_USER | USER_CREATION | Dipicu saat akun pengguna ruang pengguna ditambahkan. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Dipicu saat proses berakhir secara tidak normal (dengan sinyal yang dapat menyebabkan dump core, jika diaktifkan). |
| AVC | GENERIC_EVENT | Dipicu untuk merekam pemeriksaan izin SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat konfigurasi sistem Audit diubah. |
| CRED_ACQ | USER_LOGIN | Dipicu saat pengguna memperoleh kredensial ruang pengguna. |
| CRED_DISP | USER_LOGOUT | Dipicu saat pengguna membuang kredensial ruang pengguna. |
| CRED_REFR | USER_LOGIN | Dipicu saat pengguna memperbarui kredensial ruang pengguna mereka. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Dipicu untuk merekam ID kunci kriptografis yang digunakan untuk tujuan kriptografi. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Dipicu untuk merekam parameter yang ditetapkan selama pembuatan sesi TLS. |
| CDW | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam direktori kerja saat ini. |
| DAEMON_ABORT | PROCESS_TERMINATION | Dipicu saat daemon dihentikan karena terjadi error. |
| DAEMON_END | PROCESS_TERMINATION | Dipicu saat daemon berhasil dihentikan. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Dipicu saat daemon yang diaudit melanjutkan logging. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Dipicu saat daemon audit merotasi file log Audit. |
| DAEMON_START | PROCESS_LAUNCH | Dipicu saat daemon yang diaudit dimulai. |
| DEL_GROUP | GROUP_DELETION | Dipicu saat grup ruang pengguna dihapus |
| Dalam proses | USER_DELETION | Dipicu saat pengguna ruang pengguna dihapus |
| EXECVE | PROCESS_LAUNCH | Dipicu untuk merekam argumen panggilan sistem execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Dipicu saat nilai Boolean SELinux diubah. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam informasi tentang peristiwa IPSec, saat peristiwa tersebut terdeteksi, atau ketika konfigurasi IPSec berubah. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Dipicu saat file kebijakan SELinux dimuat. |
| MAC_STATUS | GENERIC_EVENT | Dipicu saat mode SELinux (berlaku, permisif, nonaktif) diubah. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu saat label statis ditambahkan saat menggunakan kemampuan pelabelan paket dari kernel yang disediakan oleh NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Dipicu saat modifikasi rantai Netfilter terdeteksi. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Dipicu untuk merekam informasi tentang proses tujuan pengiriman sinyal. |
| PATH | FILE_OPEN/GENERIC_EVENT | Dipicu untuk merekam informasi jalur nama file. |
| SELINUX_ERR | GENERIC_EVENT | Dipicu saat error SELinux internal terdeteksi. |
| SERVICE_START | SERVICE_START | Dipicu saat layanan dimulai. |
| SERVICE_STOP | SERVICE_STOP | Dipicu saat layanan dihentikan. |
| SYSCALL | GENERIC_EVENT | Dipicu untuk merekam panggilan sistem ke kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Dipicu saat sistem melakukan booting. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Dipicu saat tingkat pengoperasian sistem berubah. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Dipicu saat sistem dimatikan. |
| USER_ACCT | SETTING_MODIFICATION | Dipicu saat akun pengguna ruang pengguna diubah. |
| USER_AUTH | USER_LOGIN | Dipicu saat upaya autentikasi ruang pengguna terdeteksi. |
| USER_AVC | USER_UNCATEGORIZED | Dipicu saat pesan AVC ruang pengguna dibuat. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat atribut akun pengguna diubah. |
| USER_CMD | USER_COMMUNICATION | Dipicu saat perintah shell user-space dijalankan. |
| USER_END | USER_LOGOUT | Dipicu saat sesi ruang pengguna dihentikan. |
| USER_ERR | USER_UNCATEGORIZED | Dipicu saat error status akun pengguna terdeteksi. |
| USER_LOGIN | USER_LOGIN | Dipicu saat pengguna login. |
| USER_LOGOUT | USER_LOGOUT | Dipicu saat pengguna logout. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Dipicu saat daemon user-space memuat kebijakan SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Dipicu untuk merekam data pengelolaan ruang pengguna. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Dipicu saat peran SELinux pengguna berubah. |
| USER_START | USER_LOGIN | Dipicu saat sesi ruang pengguna dimulai. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Dipicu saat perubahan konfigurasi sistem ruang pengguna terdeteksi. |
| VIRT_CONTROL | STATUS_UPDATE | Dipicu saat virtual machine dimulai, dijeda, atau dihentikan. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Dipicu untuk merekam binding label ke virtual machine. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Dipicu untuk merekam penetapan resource virtual machine. |
Kolom log email ke kolom UDM
Tabel berikut mencantumkan kolom log jenis log email dan kolom UDM yang sesuai.
| Kolom log | Kolom UDM |
|---|---|
| Class | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Dari | network.email.from |
| psgid | network.email.mail_id |
| Proto | network.application_protocol |
| Relai | intermediary.hostname
intermediary.ip |
| Ukuran | network.received_bytes |
| Statistik | security_result.summary |
| pada | network.email.to |
Jenis log email ke jenis peristiwa UDM
Tabel berikut mencantumkan jenis log email dan jenis peristiwa UDM yang sesuai.
| Jenis log email | Jenis peristiwa UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| pengambilan | EMAIL_UNCATEGORIZED |
| pembersihan | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| lokal | EMAIL_UNCATEGORIZED |