OSSEC ログを収集する
このドキュメントでは、OSSEC と Chronicle フォワーダーを構成して、OSSEC ログを収集する方法について説明します。また、サポートされているログタイプとサポートされている OSSEC バージョンについても説明します。
詳細については、Chronicle へのデータの取り込みをご覧ください。
概要
次のデプロイ アーキテクチャ図は、OSSEC エージェントとサーバーが Chronicle にログを送信するように構成されている方法を示しています。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
アーキテクチャ図には、次のコンポーネントが示されています。
Linux システム。モニタリング対象の Linux システム。Linux システムは、モニタリング対象のファイルと OSSEC エージェントで構成されています。
Microsoft Windows システム。OSSEC エージェントがインストールされている、モニタリング対象の Microsoft Windows システム。
OSSEC エージェント。OSSEC エージェントは、Microsoft Windows システムまたは Linux システムから情報を収集し、それらの情報を OSSEC サーバーに転送します。
OSSEC サーバー。OSSEC サーバーは、OSSEC エージェントの情報をモニタリングおよび受信し、ログを分析して Chronicle フォワーダーに転送します。
Chronicle フォワーダー。Chronicle フォワーダーは、お客様のネットワークにデプロイされる軽量のソフトウェア コンポーネントであり、syslog をサポートします。 ログは、Chronicle フォワーダーによって Chronicle に転送されます。
Chronicle。OSSEC サーバーからのログを保持して分析します。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル OSSEC が付加されたパーサーに適用されます。
始める前に
モニタリング予定の Microsoft Windows システムまたは Linux システムに OSSEC エージェントがインストールされていることを確認します。OSSEC エージェントのインストールの詳細については、OSSEC のインストールをご覧ください。
Chronicle パーサーがサポートする OSSEC バージョンを使用します。Chronicle パーサーは OSSEC バージョン 3.6.0 をサポートしています。
OSSEC サーバーが中央の Linux サーバーにインストールされ、構成されていることを確認します。
Chronicle パーサーがサポートするログタイプを確認します。次の表に、Chronicle パーサーがサポートするプロダクトとログファイルのパスを示します。
オペレーティング システム プロダクト ログ ファイルのパス Microsoft Windows Microsoft Windows イベントログ Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux - OSSEC サーバー OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
OSSEC エージェントとサーバー、Chronicle フォワーダーを構成する
OSSEC エージェントとサーバー、Chronicle フォワーダーを構成するには、次の手順を行います。
Linux システムで生成されるログをモニタリングするには、
ossec.confファイルを作成して、エージェントのログ モニタリング構成を指定します。Linux システム上のエージェントの構成ファイルの例を次に示します。<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Microsoft Windows システムで生成するログをモニタリングするには、
ossec.confファイルを作成して、エージェントのログ モニタリング構成を指定します。Microsoft Windows システム上のエージェントの構成ファイルの例を次に示します。<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>syslog プロトコルを使用して OSSEC サーバーから Chronicle にログを転送するには、次の形式で
syslog.confOSSEC サーバー構成ファイルを作成します。.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Chronicle フォワーダーを、Chronicle へログを送信するように構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Chronicle フォワーダー構成の例を次に示します。
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
フィールド マッピング リファレンス
このセクションでは、Chronicle パーサーが Linux システムおよび Microsoft Windows システムに grok パターンを適用する方法と、ログタイプごとに OSSEC ログフィールドを Chronicle Unified Data Model(UDM)フィールドにマッピングする方法について説明します。
共通フィールドのマッピング リファレンスについては、共通フィールドをご覧ください。
Linux システムのログパス、サンプルログの grok パターン、イベントタイプ、UDM フィールドのリファレンス情報については、以下のセクションをご覧ください。
サポートされている Microsoft Windows イベントと、対応する UDM フィールドについては、Microsoft Windows イベントデータをご覧ください。
共通フィールド
次の表に、一般的なログフィールドと対応する UDM フィールドを示します。
| 共通ログフィールド | UDM フィールド |
|---|---|
| collected_time | metadata.collected_timestamp |
| アプリケーション | principal.application |
| log | metadata.description |
| ip | target.ip または principal.ip |
| hostname | target.hostname または principal.hostname |
Linux システム
次の表に、Linux システムのログパス、サンプルログの grok パターン、イベントタイプ、UDM マッピングを示します。
| ログのパス | サンプルログ | Grok パターン | イベントタイプ | UDM マッピング |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます error_message は security_result.description にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます error_message は security_result.description にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます error_message は security_result.description にマッピングされます target.platform は「LINUX」に設定されます Referer_url は network.http.referral_url にマッピングされます |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | timestamp は metadata.event_timestamp にマッピングされます log_module は target.resource.name にマッピングされます log_level は security_result.severity にマッピングされます pid は target.process.parent_process.pid にマッピングされます tid は target.process.pid にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます error_message は security_result.description にマッピングされます target_ip は target.ip にマッピングされます Referer_url は network.http.referral_url にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます connection_id は network.session_id にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます request_id は security_result.detection_fields.(key/value) にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます pid は target.process.parent_process.pid にマッピングされます connection_id は network.session_id にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | timestamp は metadata.event_timestamp にマッピングされます log_level は security_result.severity にマッピングされます request_id は security_result.detection_fields.(key/value) にマッピングされます client_ip は principal.ip にマッピングされます client_port は principal.port にマッピングされます pid は target.process.parent_process.pid にマッピングされます connection_id は network.session_id にマッピングされます error_message は security_result.description にマッピングされます file_path は target.file.full_path にマッピングされます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip は principal.ip にマッピングされます userid は principal.user.id にマッピングされます host は principal.hostname にマッピングされます timestamp は metadata.event_timestamp にマッピングされます method は network.http.method にマッピングされます resource は principal.resource.name にマッピングされます client_protocol は network.application_protocol にマッピングされます result_status は network.http.response_code にマッピングされます object_size は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?)[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host は target.hostname にマッピングされます target_port は target.port にマッピングされます client_ip は principal.ip にマッピングされます userid は principal.user.id にマッピングされます host は principal.hostname にマッピングされます timestamp は metadata.event_timestamp にマッピングされます method は network.http.method にマッピングされます resource は principal.resource.name にマッピングされます result_status は network.http.response_code にマッピングされます object_size は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます network.application_protocol は「HTTP」に設定されます |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | パスは target.url にマッピングされます。 Referer_url は network.http.referral_url にマッピングされます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent は network.http.user_agent にマッピングされます network.direction は「OUTBOUND」に設定されます target.platform は「LINUX」に設定されます network.application_protocol は「HTTP」に設定されます target.platform は「LINUX」に設定されます metadata.vendor_name は「Apache」に設定されます metadata.product_name は、「Apache HTTP Server」に設定されます |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time は metadata.timestamp にマッピングされます ip は target.ip にマッピングされます principal_ip は principal.ip にマッピングされます principal_user_userid は principal.user.userid にマッピングされます metadata_timestamp は timestamp にマッピングされます http_method は network.http.method にマッピングされます resource_name は principal.resource.name にマッピングされます protocol は network.application_protocol = (HTTP) にマッピングされます response_code は network.http.response_code にマッピングされます receive_bytes は network.sent_bytes にマッピングされます Referer_url は network.http.referral_url にマッピングされます user_agent は network.http.user_agent にマッピングされます target.platform は「LINUX」に設定されます metadata.vendor_name は「NGINX」に設定されます metadata.product_name は「NGINX」に設定されます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます |
| var/log/nginx/error.log | 2022 年 01 月 29 日 13:51:48 [エラー] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\": (2: ファイルまたはディレクトリがありません): クライアント: 192.0.2.1、server: localhost、request: \"GET /nginx_status HTTP/1.1\"、ホスト: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 is mapped to "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?){protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id は principal.process.pid にマッピングされます severity は security_result.severity にマッピングされます (debug は UNKNOWN_SEVERITY に、info は INFORMATIONAL に、notice は LOW に、warn は MEDIUM に、error は ERROR に、crit は CRITICAL に、alert は HIGH にマッピングされます) target_file_full_path は target.file.full_path にマッピングされます principal_ip は principal.ip にマッピングされます target_hostname は target.hostname にマッピングされます http_method は network.http.method にマッピングされます resource_name は principal.resource.name にマッピングされます プロトコルは「TCP」にマッピングされます target_ip は target.ip にマッピングされます target_port は target.port にマッピングされます security_description + security_result_description_2 は security_result.description にマッピングされます pid は principal.process.parent_process.pid にマッピングされます network.application_protocol は「HTTP」に設定されます timestamp は %{year}/%{day}/%{month} %{time} にマッピングされます target.platform は「LINUX」に設定されます metadata.vendor_name は「NGINX」に設定されます metadata.product_name は「NGINX」に設定されます network.ip_protocol は「TCP」に設定されます network.direction は「OUTBOUND」に設定されます |
| var/log/rkhunter.log | [14:10:40] 必要なコマンドのチェックに失敗しました | [<message_text>]{security_description} | STATUS_UPDATE | time は metadata.timestamp にマッピングされます securtiy_description は security_result.description にマッピングされます principal.platform は「LINUX」に設定されます metadata.vendor_name は「RootKit Hunter」に設定されます metadata.product_name は「RootKit Hunter」に設定されます |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description は、metadata.description にマッピングされます file_path は target.file.full_path にマッピングされます security_description は security_result.description にマッピングされます principal.platform は「LINUX」に設定されます metadata.vendor_name は「RootKit Hunter」に設定されます metadata.product_name は「RootKit Hunter」に設定されます |
| var/log/rkhunter.log | ossec: File size reduced (inode remained): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time は metadata.timestamp にマッピングされます metadata_description は、metadata.description にマッピングされます file_path は target.file.full_path にマッピングされます principal.platform は「LINUX」に設定されます metadata.vendor_name は「RootKit Hunter」に設定されます metadata.product_name は「RootKit Hunter」に設定されます |
| /var/log/kern.log | Jul 7 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | タイムスタンプは「metadata.event_timestamp」にマッピングされます principal_hostname は「principal.hostname」にマッピングされます metadata_product_event_type は、「metadata.product_event_type」にマッピングされます target_ip は「target.ip」にマッピングされます principal_ip は「principal.ip」にマッピングされます target_user_userid は「target.user.userid」にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/kern.log | Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | タイムスタンプは「metadata.event_timestamp」にマッピングされます principal_hostname は「principal.hostname」にマッピングされます metadata_product_event_type は、「metadata.product_event_type」にマッピングされます metadata_description は、「metadata.description」にマッピングされます file_path は「principal.process.file」にマッピングされます pid は「principal.process.pid」にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | タイムスタンプは「metadata.event_timestamp」にマッピングされます principal_hostname は「principal.hostname」にマッピングされます metadata_product_event_type は、「metadata.product_event_type」にマッピングされます metadata_description は、「metadata.description」にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | タイムスタンプは「metadata.event_timestamp」にマッピングされます principal_hostname は「principal.hostname」にマッピングされます metadata_product_event_type は、「metadata.product_event_type」にマッピングされます principal_asset_hardware_cpu_model は「principal.asset.hardware.cpu_model」にマッピングされます metadata_description は、「metadata.description」にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます cpu_model は principal.asset.hardware.cpu_model にマッピングされます |
| /var/log/syslog.log | Jan 29 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます http_method は network.http.method にマッピングされます response_code は network.http.response_code にマッピングされます resource は target.url にマッピングされます target_ip は target.ip にマッピングされます receive_bytes は network.received_bytes にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます command_line は principal.process.command_line にマッピングされます |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます log_level は security_result.severity にマッピングされます message は metadata.description にマッピングされます command_line は principal.process.command_line にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます target_ip は target.ip にマッピングされます |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます log_level は security_result.severity にマッピングされます description は security_result.description にマッピングされます command_line は principal.process.command_line にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます log_level は security_result.severity にマッピングされます description + reason は security_result.description にマッピングされます command_line は principal.process.command_line にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/syslog.log | May 2 06:25:01 localhost apachectl[64942]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using ::1.このメッセージを非表示にするには、「ServerName」ディレクティブをグローバルに設定します | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます message は metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます command_line は principal.process.command_line にマッピングされます |
| /var/log/syslog.log | May 2 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) trimmed | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます message は metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます command_line は principal.process.command_line にマッピングされます |
| /var/log/syslog.log | May 3 10:14:37 localhost rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collect_time は、metadata.collected_timestamp にマッピングされます hostname は principal.hostname にマッピングされます message は metadata.description にマッピングされます user_id は principal.user.userid にマッピングされます command_line は principal.process.command_line にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| /var/log/syslog.log | May 5 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collect_time は metadata.event_timestamp にマッピングされます hostname は principal.hostname にマッピングされます pid は principal.process.pid にマッピングされます message は metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます command_line は principal.process.command_line にマッピングされます |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます resource_name は target.resource.name にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/mail.log | Apr 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname は target.hostname にマッピングされます application は target.application にマッピングされます pid は target.process.pid にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - ドット表記を使用した構成キー「[filterNames]」へのアクセスは非推奨になり、将来のリリースでは削除されます。代わりに「config.getProperty(key, targetClass)」を使用してください。 | [{timestamp}]{severity}{summary}\-{security_description}
, at {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line は「target.process.command_line」にマッピングされます file_path は「target.process.file.full_path」にマッピングされます タイムスタンプは「metadata.event_timestamp」にマッピングされます severity は「security_result.severity」にマッピングされます summary は「security_result.summary」にマッピングされます security_description は「security_result.description」にマッピングされます metadata.product_name は「OSSEC」に設定されます metadata.vendor_name は「OSSEC」に設定されます |
| /var/log/auth.log | Apr 27 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | timestamp は「metadata.timestamp」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_hostname は「target.hostname」にマッピングされ、それ以外の場合は「principal.hostname」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、principal_application は「target.application」にマッピングされ、それ以外の場合は「principal.application」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、pid は「target.process.pid」にマッピングされ、それ以外の場合は「principal.process.pid」にマッピングされます。 security_description は「security_result.description」にマッピングされます network_session_id は「network.session_id」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_user_userid は「principal.user.userid」にマッピングされ、それ以外の場合は「target.user.userid」にマッピングされます。 「principal.platform」は「LINUX」にマッピングされます if(removed_session) event_type は USER_LOGOUT に設定されます extensions.auth.type は AUTHTYPE_UNSPECIFIED に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/auth.log | Apr 28 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | timestamp は「metadata.timestamp」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_hostname は「target.hostname」にマッピングされ、それ以外の場合は「principal.hostname」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、principal_application は「target.application」にマッピングされ、それ以外の場合は「principal.application」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、pid は「target.process.pid」にマッピングされ、それ以外の場合は「principal.process.pid」にマッピングされます。 security_description は「security_result.description」にマッピングされます network_session_id は「network.session_id」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_user_userid は「principal.user.userid」にマッピングされ、それ以外の場合は「target.user.userid」にマッピングされます。 「principal.platform」は「LINUX」にマッピングされます 「network.application_protocol」は「SSH」にマッピングされます if(new_session) event_type は USER_LOGIN に設定されます extensions.auth.type は AUTHTYPE_UNSPECIFIED に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | timestamp は「metadata.timestamp」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_hostname は「target.hostname」にマッピングされ、それ以外の場合は「principal.hostname」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、principal_application は「target.application」にマッピングされ、それ以外の場合は「principal.application」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、pid は「target.process.pid」にマッピングされ、それ以外の場合は「principal.process.pid」にマッピングされます。 security_description は「security_result.description」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_user_userid は「principal.user.userid」にマッピングされ、それ以外の場合は「target.user.userid」にマッピングされます。 principal_ip は「principal.ip」にマッピングされます principal_port は「principal.port」にマッピングされます security_result_detection_fields_ssh_kv は「security_result.detection_fields.key/value」にマッピングされます security_result_detection_fields_kv は「security_result.detection_fields.key/value」にマッピングされます 「principal.platform」は「LINUX」に設定されます 「network.application_protocol」は「SSH」に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | timestamp は「metadata.timestamp」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_hostname は「target.hostname」にマッピングされ、それ以外の場合は「principal.hostname」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、principal_application は「target.application」にマッピングされ、それ以外の場合は「principal.application」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、pid は「target.process.pid」にマッピングされ、それ以外の場合は「principal.process.pid」にマッピングされます。 security_description は「security_result.description」にマッピングされます principal_user_uuserid は「principal.user.attributes.labels」にマッピングされます principal_user_attributes_labels_euid_kv は「principal.user.attributes.labels.key/value」にマッピングされます principal_ruser_userid は「principal.user.attributes.labels.key/value」にマッピングされます target_ip は「target.ip」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_user_userid は「principal.user.userid」にマッピングされ、それ以外の場合は「target.user.userid」にマッピングされます 「principal.platform」は「LINUX」に設定されます 「network.application_protocol」は「SSH」に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/auth.log | Feb 24 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp は metadata.timestamp にマッピングされます principal_hostname は principal.hostname にマッピングされます principal_application は principal.application にマッピングされます pid は principal.process.pid にマッピングされます principal_user_userid は target.user.userid にマッピングされます security_description は「security_result.description」にマッピングされます principal_process_command_line_1 は「principal.process.command_line」にマッピングされます principal_process_command_line_2 は「principal.process.command_line」にマッピングされます principal_user_attributes_labels_uid_kv は、「principal.user.attributes.labels.key/value」にマッピングされます 「principal.platform」は「LINUX」に設定されます |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp は metadata.timestamp にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_hostname は「target.hostname」にマッピングされ、それ以外の場合は「principal.hostname」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、principal_application は「target.application」にマッピングされ、それ以外の場合は「principal.application」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、pid は「target.process.pid」にマッピングされ、それ以外の場合は「principal.process.pid」にマッピングされます。 security_description は「security_result.description」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_user_userid は「principal.user.userid」にマッピングされ、それ以外の場合は「target.user.userid」にマッピングされます。 principal_user_attributes_labels_uid_kv は、「principal.user.attributes.labels.key/value」にマッピングされます 「principal.platform」は「LINUX」に設定されます 「network.application_protocol」は「SSH」に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | timestamp は metadata.timestamp にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_hostname は「target.hostname」にマッピングされ、それ以外の場合は「principal.hostname」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、principal_application は「target.application」にマッピングされ、それ以外の場合は「principal.application」にマッピングされます。 metadata.event_type が USER_LOGOUT の場合、pid は「target.process.pid」にマッピングされ、それ以外の場合は「principal.process.pid」にマッピングされます。 security_description は「security_result.description」にマッピングされます metadata.event_type が USER_LOGOUT の場合、principal_user_userid は「principal.user.userid」にマッピングされ、それ以外の場合は「target.user.userid」にマッピングされます。 principal_user_attribute_labels_uid_kv は principal.user.attribute.labels.key/value にマッピングされます 「principal.platform」は「LINUX」に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| /var/log/auth.log | May 24 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp は metadata.timestamp にマッピングされます principal_hostname は principal.hostname にマッピングされます principal_application は principal.application にマッピングされます pid は principal.process.pid にマッピングされます security_result_description は security_result_description にマッピングされます 「principal.platform」は「LINUX」に設定されます metadata.vendor_name は OSSEC に設定されます metadata.product_name は OSSEC に設定されます |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | timestamp は「metadata.timestamp」にマッピングされます pid は「principal.process.pid」にマッピングされます principal_user_attributes_labels_kv は、「principal.user.attributes.labels」にマッピングされます principal_group_attributes_labels_kv は「principal.group.attributes.labels」にマッピングされます principal_user_userid は「principal.user.userid」にマッピングされます principal_group_product_object_id は「principal.group.product_object_id」にマッピングされます security_description は「security_result.description」にマッピングされます metadata_description は、「metadata.description」にマッピングされます metadata.product_name は「OSSEC」に設定されます 「metadata.vendor_name」は「OSSEC」に設定されます |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name は「OSSEC」に設定されます metadata.vendor_name は「OSSEC」に設定されます user_id は principal.user.userid にマッピングされます desc は metadata.description にマッピングされます |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます local_ip は principal.ip にマッピングされます target_ip は target.ip にマッピングされます target_hostname は principal.hostname にマッピングされます port は target.port にマッピングされます user は principal.user_display_name にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| var/log/openvpnas.log | 2022 年 04 月 28 日 T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 ライブラリのバージョン: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます msg は security_result.description にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
message は <message_text>with[<message_text>]<message_text>:{port}<message_text> にマッピングされます |
STATUS_UPDATE | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます message は security_result.description にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます message は security_result.description にマッピングされます user は principal.user_display_name にマッピングされます ip は principal.ip にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| var/log/openvpnas.log | 2022 年 04 月 29 日 T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp は metadata.timestamp にマッピングされます log_level は security_result.severity にマッピングされます message は security_result.description にマッピングされます summary は security_result.summary にマッピングされます user_name は principal.user.user_display_name にマッピングされます cli は、principal.process.command_line にマッピングされます status は principal.user.user_authentication_status にマッピングされます metadata.vendor_name は「OpenVPN」に設定されます metadata.product_name は「OpenVPN Access Server」に設定されています principal.platform は「LINUX」に設定されます |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
現在のシートの監査ログの EventType マッピング タブの EventType | audit_log_type は metadata.product_event_type にマッピングされます metadata_ingested_timestamp は「metadata.event_timestamp」にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.plateform は「LINUX」に設定されます data は現在のシート audit.log タブの key value pair-> UDM mapping にマッピングされます |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます metadata_description は、metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます command_line は target.process.command_line にマッピングされます metadata_description は、metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます metadata_description は、metadata.description にマッピングされます resource は target.resource.name にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます file_path は target.file.full_path にマッピングされます metadata_description は、metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます file_path は target.file.full_path にマッピングされます metadata.vendor_name は OSSEC に設定されます metadata.product_name は OSSEC に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます metadata_description は、metadata.description にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます file_path は target.file.full_path にマッピングされます metadata_description は、metadata.description にマッピングされます error_code は security_result.summary にマッピングされます error_metadata_description は security_result.summary にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます metadata_description は、metadata.description にマッピングされます port は target.port にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます metadata_description は、metadata.description にマッピングされます file_path は target.file.full_path にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application は target.application にマッピングされます pid は target.process.pid にマッピングされます severity は security_result.severity にマッピングされます file_path は target.file.full_path にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます |
| ntpd process | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocol は network.ip_protocol にマッピングされます pid は principal.process.pid にマッピングされます metadata.description は「Program name: %{process_name}」に設定されます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
| syscheck | File '/usr/bin/fwts' modified | File '{file_path}' {description} | FILE_MODIFICATION | description は metadata.description にマッピングされます file_path は target.file.full_path にマッピングされます metadata.vendor_name は「OSSEC」に設定されます metadata.product_name は「OSSEC」に設定されます principal.platform は「LINUX」に設定されます |
監査
監査ログフィールドから UDM フィールド
次の表に、監査ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| ログフィールド | UDM フィールド |
|---|---|
| acct に返す点に注目してください。 | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| サポート | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| ファミリー | 「ip_protocol」== 2 の場合は network.ip_protocol が「IP6IN4」に設定され、それ以外の場合は「UNKNOWN_IP_PROTOCOL」に設定されます |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| icmptype | network.ip_protocol は「ICMP」に設定されます |
| id | [audit_log_type] == "ADD_USER" の場合、target.user.userid は「%{id}」に設定されます
[audit_log_type] == "ADD_GROUP" の場合、target.group.product_object_id は "%{id}"" に設定されています。 それ以外の場合、target.user.Attribute.labels.key/value は id に設定されます |
| inode | target.resource.product_object_id |
| キー | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attributes.permissions.name
target.resource.attribute.permissions.type |
| 名前 | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| パス | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | [ip_protocol] == 2 の場合、network.ip_protocol は「IP6IN4」に設定されます
それ以外の場合は、network.ip_protocol が 「UNKNOWN_IP_PROTOCOL」に設定されます |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| success | success=='yes' の場合、securtiy_result.summary は「system call was successful」に設定されます
それ以外の場合は securtiy_result.Summary が「systemcall was failed」に設定されます |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| ターミナル | target.labels.key/value |
| tty | target.labels.key/value |
| uid | If [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid は principal.user.userid に設定されます
else uid は target.user.userid に設定されます |
| vm | target.resource.name |
監査ログから UDM イベントタイプ
次の表に、監査ログの種類とそれに対応する UDM イベントタイプを示します。
| 監査ログのタイプ | UDM イベントタイプ | 説明 |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | ユーザー空間グループが追加されるとトリガーされます。 |
| ADD_USER | USER_CREATION | ユーザー空間のユーザー アカウントが追加されるとトリガーされます。 |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | プロセスが異常終了するとトリガーされます(有効な場合、コアダンプの原因となるシグナルを使用)。 |
| AVC | GENERIC_EVENT | SELinux 権限チェックを記録するためにトリガーされます。 |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | 監査システムの構成が変更されるとトリガーされます。 |
| CRED_ACQ | USER_LOGIN | ユーザーがユーザー空間の認証情報を取得するとトリガーされます。 |
| CRED_DISP | USER_LOGOUT | ユーザーがユーザー空間の認証情報を破棄するとトリガーされます。 |
| CRED_REFR | USER_LOGIN | ユーザーがユーザー空間の認証情報を更新するとトリガーされます。 |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | 暗号化に使用される暗号鍵 ID を記録するためにトリガーされます。 |
| CRYPTO_SESSION | PROCESS_TERMINATION | TLS セッションの確立中に設定されたパラメータを記録するためにトリガーされます。 |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 現在の作業ディレクトリを記録するためにトリガーされます。 |
| DAEMON_ABORT | PROCESS_TERMINATION | エラーのためにデーモンが停止するとトリガーされます。 |
| DAEMON_END | PROCESS_TERMINATION | デーモンが正常に停止するとトリガーされます。 |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | auditd デーモンがロギングを再開するとトリガーされます。 |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | auditd デーモンが監査ログファイルをローテーションしたときにトリガーされます。 |
| DAEMON_START | PROCESS_LAUNCH | auditd デーモンが開始されるとトリガーされます。 |
| DEL_GROUP | GROUP_DELETION | ユーザー空間グループが削除されるとトリガーされます。 |
| 保留 | USER_DELETION | ユーザー空間ユーザーが削除されるとトリガーされます。 |
| EXECVE | PROCESS_LAUNCH | execve(2) システム呼び出しの引数を記録するようにトリガーされます。 |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | SELinux ブール値が変更されるとトリガーされます。 |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | IPSec イベントに関する情報が検出されるか、または IPSec 構成が変更されると、その情報の記録がトリガーされます。 |
| MAC_POLICY_LOAD | GENERIC_EVENT | SELinux ポリシー ファイルが読み込まれるとトリガーされます。 |
| MAC_STATUS | GENERIC_EVENT | SELinux モード(enforcing、permissive、off)が変更されたときにトリガーされます。 |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | NetLabel によって提供されるカーネルのパケット ラベリング機能を使用して、静的ラベルが追加されるとトリガーされます。 |
| NETFILTER_CFG | GENERIC_EVENT | Netfilter チェーンの変更が検出されるとトリガーされます。 |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | シグナルが送信されたプロセスに関する情報を記録するようにトリガーされます。 |
| PATH | FILE_OPEN/GENERIC_EVENT | ファイル名パス情報を記録するためにトリガーされます。 |
| SELINUX_ERR | GENERIC_EVENT | 内部 SELinux エラーが検出されるとトリガーされます。 |
| SERVICE_START | SERVICE_START | サービスが開始されるとトリガーされます。 |
| SERVICE_STOP | SERVICE_STOP | サービスが停止するとトリガーされます。 |
| SYSCALL | GENERIC_EVENT | カーネルへのシステムコールを記録するためにトリガーされます。 |
| SYSTEM_BOOT | STATUS_STARTUP | システムが起動するとトリガーされます。 |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | システムの実行レベルが変更されるとトリガーされます。 |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | システムがシャットダウンされるとトリガーされます。 |
| USER_ACCT | SETTING_MODIFICATION | ユーザー空間のユーザー アカウントが変更されるとトリガーされます。 |
| USER_AUTH | USER_LOGIN | ユーザー空間認証の試行が検出されるとトリガーされます。 |
| USER_AVC | USER_UNCATEGORIZED | ユーザー空間 AVC メッセージが生成されるとトリガーされます。 |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | ユーザー アカウント属性が変更されるとトリガーされます。 |
| USER_CMD | USER_COMMUNICATION | ユーザー空間シェルコマンドの実行時にトリガーされます。 |
| USER_END | USER_LOGOUT | ユーザー空間セッションが終了するとトリガーされます。 |
| USER_ERR | USER_UNCATEGORIZED | ユーザー アカウントの状態のエラーが検出されるとトリガーされます。 |
| USER_LOGIN | USER_LOGIN | ユーザーがログインするとトリガーされます。 |
| USER_LOGOUT | USER_LOGOUT | ユーザーがログアウトするとトリガーされます。 |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | ユーザー空間デーモンが SELinux ポリシーを読み込むとトリガーされます。 |
| USER_MGMT | USER_UNCATEGORIZED | ユーザー空間の管理データを記録するようにトリガーされます。 |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | ユーザーの SELinux ロールが変更されるとトリガーされます。 |
| USER_START | USER_LOGIN | ユーザー空間セッションが開始されるとトリガーされます。 |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | ユーザー空間システム構成の変更が検出されるとトリガーされます。 |
| VIRT_CONTROL | STATUS_UPDATE | 仮想マシンが起動、一時停止、または停止したときにトリガーされます。 |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | 仮想マシンへのラベルのバインディングを記録するためにトリガーされます。 |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | 仮想マシンのリソース割り当てを記録するためにトリガーされます。 |
メール
メールログのフィールドから UDM フィールド
次の表に、メールログ タイプのログ フィールドと、対応する UDM フィールドを示します。
| ログフィールド | UDM フィールド |
|---|---|
| クラス | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| 開始日 | network.email.from |
| Msgid | network.email.mail_id |
| .proto | network.application_protocol |
| リレー | intermediary.hostname
intermediary.ip |
| サイズ | network.received_bytes |
| Stat | security_result.summary |
| ~ | network.email.to |
メールログ タイプから UDM イベントタイプ
次の表に、メールログの種類と対応する UDM のイベントの種類を示します。
| メール ログ タイプ | UDM イベントタイプ |
|---|---|
| sendmail | GENERIC_EVENT |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| ローカル | EMAIL_UNCATEGORIZED |