OSSEC 로그 수집
이 문서에서는 OSSEC 및 Google Security Operations 전달자를 구성하여 OSSEC 로그를 수집하는 방법을 설명합니다. 이 문서에는 지원되는 로그 유형과 지원되는 OSSEC 버전도 나와 있습니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
개요
다음 배포 아키텍처 다이어그램에서는 로그가 Google Security Operations에 전송되도록 OSSEC 에이전트와 서버를 구성하는 방법을 보여줍니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다.
이 아키텍처 다이어그램은 다음 구성요소를 보여줍니다.
Linux 시스템: 모니터링할 Linux 시스템입니다. Linux 시스템은 모니터링할 파일과 OSSEC 에이전트로 구성됩니다.
Microsoft Windows 시스템: OSSEC 에이전트가 설치된 모니터링할 Microsoft Windows 시스템입니다.
OSSEC 에이전트: OSSEC 에이전트는 Microsoft Windows 또는 Linux 시스템에서 정보를 수집하여 OSSEC 서버로 전달합니다.
OSSEC 서버: OSSEC 서버는 OSSEC 에이전트의 정보를 모니터링 및 수신하고 로그를 분석하며 로그를 Google Security Operations 전달자에게 전달합니다.
Google Security Operations 전달자. Google Security Operations 전달자는 syslog를 지원하는 고객의 네트워크에 배포된 경량형 소프트웨어 구성요소입니다. Google Security Operations 전달자는 로그를 Google Security Operations로 전달합니다.
Google Security Operations. Google Security Operations는 OSSEC 서버의 로그를 보관하고 분석합니다.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 OSSEC 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
OSSEC 에이전트가 모니터링할 Microsoft Windows 또는 Linux 시스템에 설치되어 있는지 확인합니다. OSSEC 에이전트 설치에 대한 자세한 내용은 OSSEC 설치를 참조하세요.
Google Security Operations 파서에서 지원하는 OSSEC 버전을 사용합니다. Google Security Operations 파서는 OSSEC 버전 3.6.0을 지원합니다.
OSSEC 서버가 중앙 Linux 서버에 설치 및 구성되었는지 확인합니다.
Google Security Operations 파서에서 지원하는 로그 유형을 확인합니다. 다음 표에는 Google Security Operations 파서에서 지원하는 제품과 로그 파일 경로가 나와 있습니다.
운영체제 제품 로그 파일 경로 Windows Windows 이벤트 로그 Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux - OSSEC 서버 OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
OSSEC 에이전트 및 서버, Google Security Operations 전달자 구성
OSSEC 에이전트 및 서버, Google Security Operations 전달자를 구성하려면 다음을 수행합니다.
Linux 시스템에서 생성되는 로그를 모니터링하려면
ossec.conf파일을 만들어 에이전트에 대한 로그 모니터링 구성을 지정합니다. 다음은 Linux 시스템의 에이전트에 대한 구성 파일 예시입니다.<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Microsoft Windows 시스템에서 생성되는 로그를 모니터링하려면
ossec.conf파일을 만들어 에이전트의 로그 모니터링 구성을 지정합니다. 다음은 Microsoft Windows 시스템에 대한 에이전트 구성 파일 예시입니다.<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>syslog 프로토콜을 사용하여 OSSEC 서버의 로그를 Google Security Operations에 전달하려면 다음 형식으로
syslog.confOSSEC 서버 구성 파일을 만듭니다..*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Google Security Operations 전달자를 구성하여 로그를 Google Security Operations에 전송합니다. 자세한 내용은 Linux에서 전달자 설치 및 구성을 참조하세요. 다음은 Google Security Operations 전달자 구성의 예시입니다.
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
필드 매핑 참조
이 섹션에서는 Google Security Operations 파서가 Linux 및 Microsoft Windows 시스템에 grok 패턴을 적용하는 방식과 OSSEC 로그 필드를 각 로그 유형의 Google Security Operations 통합 데이터 모델(UDM) 필드에 매핑하는 방식을 설명합니다.
일반 필드의 매핑 참조에 대한 자세한 내용은 일반 필드를 참조하세요.
Linux 시스템의 로그 경로, 예시 로그의 grok 패턴, 이벤트 유형, UDM 필드에 대한 참조 정보는 다음 섹션을 참조하세요.
지원되는 Microsoft Windows 이벤트 및 해당 UDM 필드에 대한 자세한 내용은 Microsoft Windows 이벤트 데이터를 참조하세요.
일반 필드
다음 표에는 일반 로그 필드와 해당 UDM 필드가 나와 있습니다.
| 일반 로그 필드 | UDM 필드 |
|---|---|
| collected_time | metadata.collected_timestamp |
| application | principal.application |
| 로그 | metadata.description |
| ip | target.ip 또는 principal.ip |
| hostname | target.hostname 또는 principal.hostname |
Linux 시스템
다음 표에는 Linux 시스템의 로그 경로, 예시 로그의 grok 패턴, 이벤트 유형, UDM 매핑이 나와 있습니다.
| 로그 경로 | 예시 로그 | Grok 패턴 | 이벤트 유형 | UDM 매핑 |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp가 metadata.event_timestamp에 매핑됨 log_module이 target.resource.name에 매핑됨 log_level이 security_result.severity에 매핑됨 pid가 target.process.parent_process.pid에 매핑됨 tid가 target.process.pid에 매핑됨 client_ip가 principal.ip에 매핑됨 client_port가 principal.port에 매핑됨 error_message가 security_result.description에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp가 metadata.event_timestamp에 매핑됨 log_module이 target.resource.name에 매핑됨 log_level이 security_result.severity에 매핑됨 pid가 target.process.parent_process.pid에 매핑됨 tid가 target.process.pid에 매핑됨 error_message가 security_result.description에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: 명령줄: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 timestamp가 metadata.event_timestamp에 매핑됨 log_module이 target.resource.name에 매핑됨 log_level이 security_result.severity에 매핑됨 pid가 target.process.parent_process.pid에 매핑됨 tid가 target.process.pid에 매핑됨 client_ip가 principal.ip에 매핑됨 client_port가 principal.port에 매핑됨 error_message가 security_result.description에 매핑됨 target.platform이 'LINUX'로 설정됨 referer_url이 network.http.referral_url에 매핑됨 |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | timestamp가 metadata.event_timestamp에 매핑됨 log_module이 target.resource.name에 매핑됨 log_level이 security_result.severity에 매핑됨 pid가 target.process.parent_process.pid에 매핑됨 tid가 target.process.pid에 매핑됨 client_ip가 principal.ip에 매핑됨 client_port가 principal.port에 매핑됨 error_message가 security_result.description에 매핑됨 target_ip가 target.ip에 매핑됨 referer_url이 network.http.referral_url에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp가 metadata.event_timestamp에 매핑됨 client_ip가 principal.ip에 매핑됨 client_port가 principal.port에 매핑됨 connection_id가 network.session_id에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp가 metadata.event_timestamp에 매핑됨 request_id가 security_result.detection_fields.(key/value)에 매핑됨 client_ip가 principal.ip에 매핑됨 client_port가 principal.port에 매핑됨 pid가 target.process.parent_process.pid에 매핑됨 connection_id가 network.session_id에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | timestamp가 metadata.event_timestamp에 매핑됨 log_level이 security_result.severity에 매핑됨 request_id가 security_result.detection_fields.(key/value)에 매핑됨 client_ip가 principal.ip에 매핑됨 client_port가 principal.port에 매핑됨 pid가 target.process.parent_process.pid에 매핑됨 connection_id가 network.session_id에 매핑됨 error_message가 security_result.description에 매핑됨 file_path가 target.file.full_path에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip가 principal.ip에 매핑됨 userid가 principal.user.userid에 매핑됨 host가 principal.hostname에 매핑됨 timestamp가 metadata.event_timestamp에 매핑됨 method가 network.http.method에 매핑됨 resource가 principal.resource.name에 매핑됨 client_protocol이 network.application_protocol에 매핑됨 result_status가 network.http.response_code에 매핑됨 object_size가 network.sent_bytes에 매핑됨 referer_url이 network.http.referral_url에 매핑됨 user_agent가 network.http.user_agent에 매핑됨 network.ip_protocol이 'TCP'로 설정됨 network.direction이 'OUTBOUND'로 설정됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host가 target.hostname에 매핑됨 target_port가 target.port에 매핑됨 client_ip가 principal.ip에 매핑됨 userid가 principal.user.userid에 매핑됨 host가 principal.hostname에 매핑됨 timestamp가 metadata.event_timestamp에 매핑됨 method가 network.http.method에 매핑됨 resource가 principal.resource.name에 매핑됨 result_status가 network.http.response_code에 매핑됨 object_size가 network.sent_bytes에 매핑됨 referer_url이 network.http.referral_url에 매핑됨 user_agent가 network.http.user_agent에 매핑됨 network.ip_protocol이 'TCP'로 설정됨 network.direction이 'OUTBOUND'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 network.application_protocol이 'HTTP'로 설정됨 |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path가 target.url에 매핑됨 referer_url이 network.http.referral_url에 매핑됨 network.direction이 'OUTBOUND'로 설정됨 target.platform이 'LINUX'로 설정됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent가 network.http.user_agent에 매핑됨 network.direction이 'OUTBOUND'로 설정됨 target.platform이 'LINUX'로 설정됨 network.application_protocol이 'HTTP'로 설정됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'Apache'로 설정됨 metadata.product_name이 'Apache HTTP 서버'로 설정됨 |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time이 metadata.timestamp에 매핑됨 ip가 target.ip에 매핑됨 principal_ip가 principal.ip에 매핑됨 principal_user_userid가 principal.user.userid에 매핑됨 metadata_timestamp가 timestamp에 매핑됨 http_method가 network.http.method에 매핑됨 resource_name이 principal.resource.name에 매핑됨 protocol이 network.application_protocol = (HTTP)에 매핑됨 response_code가 network.http.response_code에 매핑됨 received_bytes가 network.sent_bytes에 매핑됨 referer_url이 network.http.referral_url에 매핑됨 user_agent가 network.http.user_agent에 매핑됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'NGINX'로 설정됨 metadata.product_name이 'NGINX'로 설정됨 network.ip_protocol이 'TCP'로 설정됨 network.direction이 'OUTBOUND'로 설정됨 |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 is mapped to "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id가 principal.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 (debug가 UNKNOWN_SEVERITY에 매핑됨, info가 INFORMATIONAL에 매핑됨, notice가 LOW에 매핑됨, warn이 MEDIUM에 매핑됨, error가 ERROR에 매핑됨, crit가 CRITICAL에 매핑됨, alert가 HIGH에 매핑됨) target_file_full_path가 target.file.full_path에 매핑됨 principal_ip가 principal.ip에 매핑됨 target_hostname이 target.hostname에 매핑됨 http_method가 network.http.method에 매핑됨 resource_name이 principal.resource.name에 매핑됨 protocol이 'TCP'에 매핑됨 target_ip가 target.ip에 매핑됨 target_port가 target.port에 매핑됨 security_description + security_result_description_2가 security_result.description에 매핑됨 pid가 principal.process.parent_process.pid에 매핑됨 network.application_protocol이 'HTTP'로 설정됨 timestamp가 %{year}/%{day}/%{month} %{time}에 매핑됨 target.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'NGINX'로 설정됨 metadata.product_name이 'NGINX'로 설정됨 network.ip_protocol이 'TCP'로 설정됨 network.direction이 'OUTBOUND'로 설정됨 |
| var/log/rkhunter.log | [14:10:40] Required commands check failed | [<message_text>]{security_description} | STATUS_UPDATE | time이 metadata.timestamp에 매핑됨 securtiy_description이 security_result.description에 매핑됨 principal.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'RootKit Hunter'로 설정됨 metadata.product_name이 'RootKit Hunter'로 설정됨 |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description이 metadata.description에 매핑됨 file_path가 target.file.full_path에 매핑됨 security_description이 security_result.description에 매핑됨 principal.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'RootKit Hunter'로 설정됨 metadata.product_name이 'RootKit Hunter'로 설정됨 |
| var/log/rkhunter.log | ossec: File size reduced (inode remained): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time이 metadata.timestamp에 매핑됨 metadata_description이 metadata.description에 매핑됨 file_path가 target.file.full_path에 매핑됨 principal.platform이 'LINUX'로 설정됨 metadata.vendor_name이 'RootKit Hunter'로 설정됨 metadata.product_name이 'RootKit Hunter'로 설정됨 |
| /var/log/kern.log | Jul 7 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | timestamp가 'metadata.event_timestamp'에 매핑됨 principal_hostname이 'principal.hostname'에 매핑됨 metadata_product_event_type이 'metadata.product_event_type'에 매핑됨 target_ip가 'target.ip'에 매핑됨 principal_ip가 'principal.ip'에 매핑됨 target_user_userid가 'target.user.userid'에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/kern.log | Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | timestamp가 'metadata.event_timestamp'에 매핑됨 principal_hostname이 'principal.hostname'에 매핑됨 metadata_product_event_type이 'metadata.product_event_type'에 매핑됨 metadata_description이 'metadata.description'에 매핑됨 file_path가 'principal.process.file'에 매핑됨 pid가 'principal.process.pid'에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | timestamp가 'metadata.event_timestamp'에 매핑됨 principal_hostname이 'principal.hostname'에 매핑됨 metadata_product_event_type이 'metadata.product_event_type'에 매핑됨 metadata_description이 'metadata.description'에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | timestamp가 'metadata.event_timestamp'에 매핑됨 principal_hostname이 'principal.hostname'에 매핑됨 metadata_product_event_type이 'metadata.product_event_type'에 매핑됨 principal_asset_hardware_cpu_model이 'principal.asset.hardware.cpu_model'에 매핑됨 metadata_description이 'metadata.description'에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 cpu_model이 principal.asset.hardware.cpu_model에 매핑됨 |
| /var/log/syslog.log | Jan 29 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 http_method가 network.http.method에 매핑됨 response_code가 network.http.response_code에 매핑됨 resource가 target.url에 매핑됨 target_ip가 target.ip에 매핑됨 received_bytes가 network.received_bytes에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 command_line이 principal.process.command_line에 매핑됨 |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 log_level이 security_result.severity에 매핑됨 message가 metadata.description에 매핑됨 command_line이 principal.process.command_line에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 target_ip가 target.ip에 매핑됨 |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 log_level이 security_result.severity에 매핑됨 description이 security_result.description에 매핑됨 command_line이 principal.process.command_line에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 log_level이 security_result.severity에 매핑됨 description + reason이 security_result.description에 매핑됨 command_line이 principal.process.command_line에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/syslog.log | May 2 06:25:01 localhost apachectl[64942]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using ::1. Set the 'ServerName' directive globally to suppress this message | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 message가 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 command_line이 principal.process.command_line에 매핑됨 |
| /var/log/syslog.log | May 2 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) trimmed | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 message가 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 command_line이 principal.process.command_line에 매핑됨 |
| /var/log/syslog.log | May 3 10:14:37 localhost rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time이 metadata.collected_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 message가 metadata.description에 매핑됨 user_id가 principal.user.userid에 매핑됨 command_line이 principal.process.command_line에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/syslog.log | May 5 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time이 metadata.event_timestamp에 매핑됨 hostname이 principal.hostname에 매핑됨 pid가 principal.process.pid에 매핑됨 message가 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 command_line이 principal.process.command_line에 매핑됨 |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname이 target.hostname에 매핑됨 application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname이 target.hostname에 매핑됨 application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname이 target.hostname에 매핑됨 application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 resource_name이 target.resource.name에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname이 target.hostname에 매핑됨 application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname이 target.hostname에 매핑됨 application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/mail.log | Apr 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname이 target.hostname에 매핑됨 application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Use 'config.getProperty(key, targetClass)' instead. | [{timestamp}]{severity}{summary}\-{security_description}
, {command_line}\({file_path}:<message_text>\)에 위치 |
STATUS_UPDATE | command_line이 'target.process.command_line'에 매핑됨 file_path가 'target.process.file.full_path'에 매핑됨 timestamp가 'metadata.event_timestamp'에 매핑됨 severity가 'security_result.severity'에 매핑됨 summary가 'security_result.summary'에 매핑됨 security_description이 'security_result.description'에 매핑됨 metadata.product_name이 'OSSEC'로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | Apr 27 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | timestamp가 'metadata.timestamp'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_hostname은 'target.hostname'에 매핑되고 그 밖의 경우에는 'principal.hostname'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_application은 'target.application'에 매핑되고 그 밖의 경우에는 'principal.application'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 pid는 'target.process.pid'에 매핑되고 그 밖의 경우에는 'principal.process.pid'에 매핑됨 security_description이 'security_result.description'에 매핑됨 network_session_id가 'network.session_id'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_user_userid는 'principal.user.userid'에 매핑되고 그 밖의 경우에는 'target.user.userid'에 매핑됨 'principal.platform'이 'LINUX'에 매핑됨 if(removed_session) event_type이 USER_LOGOUT으로 설정됨 extensions.auth.type이 AUTHTYPE_UNSPECIFIED로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | Apr 28 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | timestamp가 'metadata.timestamp'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_hostname은 'target.hostname'에 매핑되고 그 밖의 경우에는 'principal.hostname'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_application은 'target.application'에 매핑되고 그 밖의 경우에는 'principal.application'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 pid는 'target.process.pid'에 매핑되고 그 밖의 경우에는 'principal.process.pid'에 매핑됨 security_description이 'security_result.description'에 매핑됨 network_session_id가 'network.session_id'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_user_userid는 'principal.user.userid'에 매핑되고 그 밖의 경우에는 'target.user.userid'에 매핑됨 'principal.platform'이 'LINUX'에 매핑됨 'network.application_protocol'이 'SSH'에 매핑됨 if(new_session) event_type이 USER_LOGIN으로 설정됨 extensions.auth.type이 AUTHTYPE_UNSPECIFIED로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | timestamp가 'metadata.timestamp'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_hostname은 'target.hostname'에 매핑되고 그 밖의 경우에는 'principal.hostname'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_application은 'target.application'에 매핑되고 그 밖의 경우에는 'principal.application'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 pid는 'target.process.pid'에 매핑되고 그 밖의 경우에는 'principal.process.pid'에 매핑됨 security_description이 'security_result.description'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_user_userid는 'principal.user.userid'에 매핑되고 그 밖의 경우에는 'target.user.userid'에 매핑됨 principal_ip가 'principal.ip'에 매핑됨 principal_port가 'principal.port'에 매핑됨 security_result_detection_fields_ssh_kv가 'security_result.detection_fields.key/value'에 매핑됨 security_result_detection_fields_kv가 'security_result.detection_fields.key/value'에 매핑됨 'principal.platform'이 'LINUX'로 설정됨 'network.application_protocol'이 'SSH'로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | timestamp가 'metadata.timestamp'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_hostname은 'target.hostname'에 매핑되고 그 밖의 경우에는 'principal.hostname'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_application은 'target.application'에 매핑되고 그 밖의 경우에는 'principal.application'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 pid는 'target.process.pid'에 매핑되고 그 밖의 경우에는 'principal.process.pid'에 매핑됨 security_description이 'security_result.description'에 매핑됨 principal_user_uuserid가 'principal.user.attribute.labels'에 매핑됨 principal_user_attribute_labels_euid_kv가 'principal.user.attribute.labels.key/value'에 매핑됨 principal_ruser_userid가 'principal.user.attribute.labels.key/value'에 매핑됨 target_ip가 'target.ip'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_user_userid는 'principal.user.userid'에 매핑되고 그 밖의 경우에는 'target.user.userid'에 매핑됨 'principal.platform'이 'LINUX'로 설정됨 'network.application_protocol'이 'SSH'로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | Feb 24 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp가 metadata.timestamp에 매핑됨 principal_hostname이 principal.hostname에 매핑됨 principal_application이 principal.application에 매핑됨 pid가 principal.process.pid에 매핑됨 principal_user_userid가 target.user.userid에 매핑됨 security_description이 'security_result.description'에 매핑됨 principal_process_command_line_1이 'principal.process.command_line'에 매핑됨 principal_process_command_line_2가 'principal.process.command_line'에 매핑됨 principal_user_attribute_labels_uid_kv가 'principal.user.attribute.labels.key/value'에 매핑됨 'principal.platform'이 'LINUX'로 설정됨 |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp가 metadata.timestamp에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_hostname은 'target.hostname'에 매핑되고 그 밖의 경우에는 'principal.hostname'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_application은 'target.application'에 매핑되고 그 밖의 경우에는 'principal.application'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 pid는 'target.process.pid'에 매핑되고 그 밖의 경우에는 'principal.process.pid'에 매핑됨 security_description이 'security_result.description'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_user_userid는 'principal.user.userid'에 매핑되고 그 밖의 경우에는 'target.user.userid'에 매핑됨 principal_user_attribute_labels_uid_kv가 'principal.user.attribute.labels.key/value'에 매핑됨 'principal.platform'이 'LINUX'로 설정됨 'network.application_protocol'이 'SSH'로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | timestamp가 metadata.timestamp에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_hostname은 'target.hostname'에 매핑되고 그 밖의 경우에는 'principal.hostname'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_application은 'target.application'에 매핑되고 그 밖의 경우에는 'principal.application'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 pid는 'target.process.pid'에 매핑되고 그 밖의 경우에는 'principal.process.pid'에 매핑됨 security_description이 'security_result.description'에 매핑됨 metadata.event_type이 USER_LOGOUT이면 principal_user_userid는 'principal.user.userid'에 매핑되고 그 밖의 경우에는 'target.user.userid'에 매핑됨 principal_user_attribute_labels_uid_kv가 principal.user.attribute.labels.key/value에 매핑됨 'principal.platform'이 'LINUX'로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| /var/log/auth.log | May 24 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp가 metadata.timestamp에 매핑됨 principal_hostname이 principal.hostname에 매핑됨 principal_application이 principal.application에 매핑됨 pid가 principal.process.pid에 매핑됨 security_result_description이 security_result_description에 매핑됨 'principal.platform'이 'LINUX'로 설정됨 metadata.vendor_name이 OSSEC로 설정됨 metadata.product_name이 OSSEC로 설정됨 |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | timestamp가 'metadata.timestamp'에 매핑됨 pid가 'principal.process.pid'에 매핑됨 principal_user_attribute_labels_kv가 'principal.user.attribute.labels'에 매핑됨 principal_group_attribute_labels_kv가 'principal.group.attribute.labels'에 매핑됨 principal_user_userid가 'principal.user.userid'에 매핑됨 principal_group_product_object_id가 'principal.group.product_object_id'에 매핑됨 security_description이 'security_result.description'에 매핑됨 metadata_description이 'metadata.description'에 매핑됨 metadata.product_name이 'OSSEC'로 설정됨 'metadata.vendor_name'이 'OSSEC'로 설정됨 |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name이 'OSSEC'로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 user_id가 principal.user.userid에 매핑됨 desc가 metadata.description에 매핑됨 |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp가 metadata.timestamp에 매핑됨 log_level이 security_result.severity에 매핑됨 local_ip가 principal.ip에 매핑됨 target_ip가 target.ip에 매핑됨 target_hostname이 principal.hostname에 매핑됨 port가 target.port에 매핑됨 user가 principal.user.user_display_name에 매핑됨 metadata.vendor_name이 'OpenVPN'으로 설정됨 metadata.product_name이 'OpenVPN Access Server'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp가 metadata.timestamp에 매핑됨 log_level이 security_result.severity에 매핑됨 msg가 security_result.description에 매핑됨 metadata.vendor_name이 'OpenVPN'으로 설정됨 metadata.product_name이 'OpenVPN Access Server'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
message가 <message_text>with[<message_text>]<message_text>:{port}<message_text>에 매핑됨 |
STATUS_UPDATE | timestamp가 metadata.timestamp에 매핑됨 log_level이 security_result.severity에 매핑됨 message가 security_result.description에 매핑됨 metadata.vendor_name이 'OpenVPN'으로 설정됨 metadata.product_name이 'OpenVPN Access Server'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp가 metadata.timestamp에 매핑됨 log_level이 security_result.severity에 매핑됨 message가 security_result.description에 매핑됨 user가 principal.user.user_display_name에 매핑됨 ip가 principal.ip에 매핑됨 metadata.vendor_name이 'OpenVPN'으로 설정됨 metadata.product_name이 'OpenVPN Access Server'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp가 metadata.timestamp에 매핑됨 log_level이 security_result.severity에 매핑됨 message가 security_result.description에 매핑됨 summary가 security_result.summary에 매핑됨 user_name이 principal.user.user_display_name에 매핑됨 cli가 principal.process.command_line에 매핑됨 status가 principal.user.user_authentication_status에 매핑됨 metadata.vendor_name이 'OpenVPN'으로 설정됨 metadata.product_name이 'OpenVPN Access Server'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
현재 시트의 EventType 감사 로그 EventType 매핑 탭 | audit_log_type이 metadata.product_event_type에 매핑됨 metadata_ingested_timestamp가 'metadata.event_timestamp'에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.plateform이 'LINUX'로 설정됨 data가 키-값 쌍에 매핑됨-> 현재 시트 audit.log 탭의 UDM 매핑 |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 metadata_description이 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 command_line이 target.process.command_line에 매핑됨 metadata_description이 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 metadata_description이 metadata.description에 매핑됨 resource가 target.resource.name에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 file_path가 target.file.full_path에 매핑됨 metadata_description이 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 file_path가 target.file.full_path에 매핑됨 metadata.vendor_name이 OSSEC로 설정됨 metadata.product_name이 OSSEC로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 metadata_description이 metadata.description에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 file_path가 target.file.full_path에 매핑됨 metadata_description이 metadata.description에 매핑됨 error_code가 security_result.summary에 매핑됨 error_metadata_description이 security_result.summary에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 metadata_description이 metadata.description에 매핑됨 port가 target.port에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 metadata_description이 metadata.description에 매핑됨 file_path가 target.file.full_path에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application이 target.application에 매핑됨 pid가 target.process.pid에 매핑됨 severity가 security_result.severity에 매핑됨 file_path가 target.file.full_path에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 |
| ntpd process | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocol이 network.ip_protocol에 매핑됨 pid가 principal.process.pid에 매핑됨 metadata.description이 프로그램 이름: %{process_name}(으)로 설정됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
| syscheck | 파일 '/usr/bin/fwts' 수정됨 | 파일 '{file_path}' {description} | FILE_MODIFICATION | description이 metadata.description에 매핑됨 file_path가 target.file.full_path에 매핑됨 metadata.vendor_name이 'OSSEC'로 설정됨 metadata.product_name이 'OSSEC'로 설정됨 principal.platform이 'LINUX'로 설정됨 |
감사
감사 로그 필드와 UDM 필드
다음 표에는 감사 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.
| 로그 필드 | UDM 필드 |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| 데이터 | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| 계열 | 'ip_protocol'이 == 2이면 network.ip_protocol은 'IP6IN4'로 설정되고 그 밖의 경우에는 'UNKNOWN_IP_PROTOCOL'로 설정됨 |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| icmptype | network.ip_protocol이 'ICMP'로 설정됨 |
| id | [audit_log_type] == 'ADD_USER'이면 target.user.userid는 '%{id}'로 설정됨
[audit_log_type] == 'ADD_GROUP'이면 target.group.product_object_id는 '%{id}'로 설정됨 그 밖의 경우에는 target.user.attribute.labels.key/value가 id로 설정됨 |
| inode | target.resource.product_object_id |
| 키 | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| 경로 | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | [ip_protocol] == 2이면 network.ip_protocol은 'IP6IN4'로 설정됨
그 밖의 경우에는 network.ip_protocol이 'UNKNOWN_IP_PROTOCOL'로 설정됨 |
| res | security_result.summary |
| 결과 | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| 성공 | success=='yes'이면 securtiy_result.summary는 'system call was successful'로 설정됨
그 밖의 경우에는 securtiy_result.summary가 'systemcall was failed'로 설정됨 |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| 터미널 | target.labels.key/value |
| tty | target.labels.key/value |
| uid | [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD]의 [audit_log_type]이면 uid는 principal.user.userid로 설정됨
그 밖의 경우에는 uid가 target.user.userid로 설정됨 |
| VM | target.resource.name |
감사 로그 유형과 UDM 이벤트 유형
다음 표에는 감사 로그 유형과 해당 UDM 이벤트 유형이 나와 있습니다.
| 감사 로그 유형 | UDM 이벤트 유형 | 설명 |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | user-space 그룹이 추가되면 트리거됩니다. |
| ADD_USER | USER_CREATION | user-space 사용자 계정이 추가되면 트리거됩니다. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | 프로세스가 비정상적으로 종료되면 트리거됩니다(사용 설정된 경우 코어 덤프가 발생할 수 있는 신호 포함). |
| AVC | GENERIC_EVENT | SELinux 권한 확인을 기록하기 위해 트리거됩니다. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | 감사 시스템 구성이 수정되면 트리거됩니다. |
| CRED_ACQ | USER_LOGIN | 사용자가 user-space 사용자 인증 정보를 받으면 트리거됩니다. |
| CRED_DISP | USER_LOGOUT | 사용자가 user-space 사용자 인증 정보를 폐기하면 트리거됩니다. |
| CRED_REFR | USER_LOGIN | 사용자가 user-space 사용자 인증 정보를 새로고침하면 트리거됩니다. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | 암호화 용도로 사용되는 암호화 키 식별자를 기록하기 위해 트리거됩니다. |
| CRYPTO_SESSION | PROCESS_TERMINATION | TLS 세션 설정 중에 설정된 매개변수를 기록하기 위해 트리거됩니다. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 현재 작업 디렉터리를 기록하기 위해 트리거됩니다. |
| DAEMON_ABORT | PROCESS_TERMINATION | 오류로 인해 데몬이 중지되면 트리거됩니다. |
| DAEMON_END | PROCESS_TERMINATION | 데몬이 성공적으로 중지되면 트리거됩니다. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | auditd 데몬이 로깅을 재개하면 트리거됩니다. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | auditd 데몬이 감사 로그 파일을 순환하면 트리거됩니다. |
| DAEMON_START | PROCESS_LAUNCH | auditd 데몬이 시작되면 트리거됩니다. |
| DEL_GROUP | GROUP_DELETION | user-space 그룹이 삭제되면 트리거됩니다. |
| 대기 중 | 사용자 삭제 | user-space 사용자가 삭제되면 트리거됩니다. |
| EXECVE | PROCESS_LAUNCH | execve(2) 시스템 호출의 인수를 기록하기 위해 트리거됩니다. |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | SELinux 불리언 값이 변경되면 트리거됩니다. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | IPSec 이벤트가 감지되거나 IPSec 구성이 변경되면 IPSec 이벤트 정보를 기록하기 위해 트리거됩니다. |
| MAC_POLICY_LOAD | GENERIC_EVENT | SELinux 정책 파일이 로드되면 트리거됩니다. |
| MAC_STATUS | GENERIC_EVENT | SELinux 모드(강제, 허용, 사용 중지)가 변경되면 트리거됩니다. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | NetLabel이 제공하는 커널의 패킷 라벨 지정 기능을 사용할 때 정적 라벨이 추가되면 트리거됩니다. |
| NETFILTER_CFG | GENERIC_EVENT | Netfilter 체인 수정이 감지되면 트리거됩니다. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 신호가 전송되는 프로세스에 대한 정보를 기록하기 위해 트리거됩니다. |
| PATH | FILE_OPEN/GENERIC_EVENT | 파일 이름 경로 정보를 기록하기 위해 트리거됩니다. |
| SELINUX_ERR | GENERIC_EVENT | 내부 SELinux 오류가 감지되면 트리거됩니다. |
| SERVICE_START | SERVICE_START | 서비스가 시작되면 트리거됩니다. |
| SERVICE_STOP | SERVICE_STOP | 서비스가 중지되면 트리거됩니다. |
| SYSCALL | GENERIC_EVENT | 커널에 대한 시스템 호출을 기록하기 위해 트리거됩니다. |
| SYSTEM_BOOT | STATUS_STARTUP | 시스템이 부팅되면 트리거됩니다. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | 시스템의 실행 수준이 변경되면 트리거됩니다. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | 시스템이 종료되면 트리거됩니다. |
| USER_ACCT | SETTING_MODIFICATION | user-space 사용자 계정이 수정되면 트리거됩니다. |
| USER_AUTH | USER_LOGIN | user-space 인증 시도가 감지되면 트리거됩니다. |
| USER_AVC | USER_UNCATEGORIZED | user-space AVC 메시지가 생성되면 트리거됩니다. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | 사용자 계정 속성이 수정되면 트리거됩니다. |
| USER_CMD | USER_COMMUNICATION | user-space 셸 명령어가 실행되면 트리거됩니다. |
| USER_END | USER_LOGOUT | user-space 세션이 종료되면 트리거됩니다. |
| USER_ERR | USER_UNCATEGORIZED | 사용자 계정 상태 오류가 감지되면 트리거됩니다. |
| USER_LOGIN | USER_LOGIN | 사용자가 로그인하면 트리거됩니다. |
| USER_LOGOUT | USER_LOGOUT | 사용자가 로그아웃하면 트리거됩니다. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | user-space 데몬이 SELinux 정책을 로드하면 트리거됩니다. |
| USER_MGMT | USER_UNCATEGORIZED | user-space 관리 데이터를 기록하기 위해 트리거됩니다. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | 사용자의 SELinux 역할이 변경되면 트리거됩니다. |
| USER_START | USER_LOGIN | user-space 세션이 시작되면 트리거됩니다. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | user-space 시스템 구성 변경이 감지되면 트리거됩니다. |
| VIRT_CONTROL | STATUS_UPDATE | 가상 머신이 시작, 일시중지 또는 중지되면 트리거됩니다. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | 가상 머신에 대한 라벨 바인딩을 기록하기 위해 트리거됩니다. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | 가상 머신의 리소스 할당을 기록하기 위해 트리거됩니다. |
메일
메일 로그 필드와 UDM 필드
다음 표에는 메일 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.
| 로그 필드 | UDM 필드 |
|---|---|
| 클래스 | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| From | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| 릴레이 | intermediary.hostname
intermediary.ip |
| 크기 | network.received_bytes |
| Stat | security_result.summary |
| ~ | network.email.to |
메일 로그 유형과 UDM 이벤트 유형
다음 표에는 메일 로그 유형과 해당 UDM 이벤트 유형이 나와 있습니다.
| 메일 로그 유형 | UDM 이벤트 유형 |
|---|---|
| sendmail | GENERIC_EVENT |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| 로컬 | EMAIL_UNCATEGORIZED |