Coletar registros de OSSEC
Neste documento, descrevemos como coletar registros do OSSEC configurando o OSSEC e um encaminhador de operações de segurança do Google. Neste documento, também listamos os tipos de registro e a versão do OSSEC compatíveis.
Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google.
Visão geral
O diagrama da arquitetura de implantação a seguir mostra como agentes e servidores do OSSEC são configurados para enviar registros às Operações de segurança do Google. Cada implantação do cliente pode ser diferente dessa representação e pode ser mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Sistema Linux: O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no agente OSSEC.
Sistema Microsoft Windows: O sistema Microsoft Windows a ser monitorado em que o agente OSSEC está instalado.
Agente OSSEC. O agente do OSSEC coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o servidor OSSEC.
Servidor OSSEC. O servidor do OSSEC monitora e recebe informações dos agentes do OSSEC, além de analisar os registros e encaminhá-los para o encaminhador de operações de segurança do Google.
Encaminhador de Operações de segurança do Google. O encaminhador de Operações de segurança do Google é um componente de software leve, implantado na rede do cliente, que aceita o syslog. O encaminhador das Operações de segurança do Google encaminha os registros para as Operações de segurança do Google.
Operações de segurança do Google. O Google Security Operations retém e analisa os registros do servidor OSSEC.
Um rótulo de ingestão identifica o analisador que normaliza os dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão OSSEC.
Antes de começar
Verifique se o agente do OSSEC está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre como instalar o agente do OSSEC, consulte Instalação do OSSEC.
Use uma versão do OSSEC compatível com o analisador das Operações de segurança do Google. O analisador do Google Security Operations oferece suporte à versão 3.6.0 do OSSEC.
Verifique se o servidor OSSEC está instalado e configurado no servidor Linux central.
Verifique os tipos de registro aceitos pelo analisador de Operações de Segurança do Google. A tabela a seguir lista os produtos e caminhos de arquivos de registro aceitos pelo analisador de Operações de Segurança do Google:
Sistema operacional Produto Caminho do arquivo de registros Dispositivo Microsoft Windows Dispositivo Microsoft Windows Logs de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux: servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Configurar o agente e o servidor do OSSEC e o encaminhador de Operações de segurança do Google
Para configurar o agente e o servidor do OSSEC e o encaminhador das Operações de segurança do Google, faça o seguinte:
Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo
ossec.confpara especificar a configuração de monitoramento de registros para o agente. Veja um exemplo de arquivo de configuração para o agente no sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo
ossec.confpara especificar a configuração de monitoramento de registros para o agente. Veja um exemplo de arquivo de configuração para o agente no sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para encaminhar os registros do servidor OSSEC para as Operações de segurança do Google usando o protocolo syslog, crie o arquivo de configuração do servidor OSSEC
syslog.confno seguinte formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configure o encaminhador das Operações de segurança do Google para enviar registros às Operações de segurança do Google. Para mais informações, consulte Como instalar e configurar o encaminhador no Linux. Veja a seguir um exemplo de configuração de encaminhador das Operações de segurança do Google:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referência de mapeamento de campo
Esta seção explica como o analisador de Operações de segurança do Google aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do OSSEC para campos do Modelo de dados unificado (UDM, na sigla em inglês) das Operações de segurança do Google para cada tipo de registro.
Para informações sobre como mapear a referência de campos comuns, consulte Campos comuns.
Para informações de referência sobre caminhos de registro, padrões grok de registros de exemplo, tipos de evento e campos de UDM em sistemas Linux, consulte as seguintes seções:
Para informações sobre eventos compatíveis do Microsoft Windows e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.
Campos comuns
A tabela a seguir lista os campos de registro comuns e os campos de UDM correspondentes.
| Campo de registro comum | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| aplicativo | principal.application |
| log | metadata.description |
| ip | target.ip ou principal.ip |
| nome do host | target.hostname ou principal.hostname |
Sistema Linux
A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para registros de exemplo, o tipo de evento e os mapeamentos de UDM:
| Caminho do registro | Exemplo de registro | Padrão Grok | Tipo de evento | Mapeamento de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [cliente 1.200.32.47:59840] falhou ao fazer a conexão | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | o carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid client_ip está mapeado para principal.ip. client_port está mapeado para principal.port error_message foi mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] falha ao fazer conexão | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | o carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid error_message foi mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" o carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid client_ip está mapeado para principal.ip. client_port está mapeado para principal.port error_message foi mapeado para security_result.description target.platform está definida como "LINUX" referer_url está mapeado para network.http.referral_url |
| /var/log/apache2/error.log | Dom 30 de janeiro 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH01114: HTTP: falha ao fazer conexão. alto.1 | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | o carimbo de data/hora é mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name. log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid tid é mapeado para target.process.pid client_ip está mapeado para principal.ip. client_port está mapeado para principal.port error_message foi mapeado para security_result.description target_ip está mapeado para target.ip. referer_url está mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Sábado, 2 de fevereiro, 00:30:55 2019] Nova conexão: [conexão: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | o carimbo de data/hora é mapeado para metadata.event_timestamp client_ip está mapeado para principal.ip. client_port está mapeado para principal.port conexão_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Sábado, 2 de fevereiro, 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [solicitação: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | o carimbo de data/hora é mapeado para metadata.event_timestamp request_id está mapeado para security_result.detection_fields.(chave/valor) client_ip está mapeado para principal.ip. client_port está mapeado para principal.port pid é mapeado para target.process.parent_process.pid conexão_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Sábado, 2 de fevereiro 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00784] AH00128 Arquivo AH00128: arquivo AH00128 | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | o carimbo de data/hora é mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id está mapeado para security_result.detection_fields.(chave/valor) client_ip está mapeado para principal.ip. client_port está mapeado para principal.port pid é mapeado para target.process.parent_process.pid conexão_id está mapeado para network.session_id error_message foi mapeado para security_result.description file_path é mapeado para target.file.full_path. network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Abr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 6K4.7;Web.07, Chrome 10.1;16.1; Chrome) | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip está mapeado para principal.ip. userid foi mapeado para principal.user.userid host está mapeado para principal.hostname o carimbo de data/hora é mapeado para metadata.event_timestamp é mapeado para network.http.method recurso mapeado para principal.resource.name client_protocol é mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url está mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host está mapeado para target.hostname target_port está mapeado para target.port. client_ip está mapeado para principal.ip. userid foi mapeado para principal.user.userid host está mapeado para principal.hostname o carimbo de data/hora é mapeado para metadata.event_timestamp é mapeado para network.http.method recurso mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url está mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" network.application_protocol está definido como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | o caminho está mapeado para target.url. referer_url está mapeado para network.http.referral_url network.direction está definido como "OUTBOUND" target.platform está definida como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<campo opcional>{user_agent}) | GENERIC_EVENT | user_agent está mapeado para network.http.user_agent network.direction está definido como "OUTBOUND" target.platform está definida como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definida como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT/6K37;Web07;Chrome) | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time é mapeado para metadata.timestamp ip mapeado para target.ip principal_ip foi mapeado para principal.ip. principal_user_userid foi mapeado para principal.user.userid metadata_timestamp é mapeado para carimbo de data/hora http_method está mapeado para network.http.method. resource_name foi mapeado para principal.resource.name é mapeado para network.application_protocol = (HTTP) response_code é mapeado para network.http.response_code receive_bytes é mapeado para network.sent_bytes. referer_url está mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent target.platform está definida como "LINUX" "metadata.vendor_name" está definido como "NGINX" "metadata.product_name" está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/nginx/error.log | 29/01/2022 13:51:48 [erro] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" (2: arquivo ou diretório não existe), cliente: 192.0.2.1, servidor: localhost, solicitação: \"GET /nginx_status2.0\"1.0\"GET/nginx_status2.0.0\". | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 foi mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id mapeado para principal.process.pid gravidade é mapeada para security_result.severity (depuração é mapeada para UNKNOWN_SEVERITY, as informações são mapeadas para INFORMATIONAL, o aviso é mapeado para LOW, o aviso é mapeado para MEDIUM, o erro é mapeado para ERROR, o crit é mapeado para CRITICAL, o alerta é mapeado para HIGH) target_file_full_path está mapeado para target.file.full_path. principal_ip foi mapeado para principal.ip. target_hostname está mapeado para target.hostname http_method está mapeado para network.http.method. resource_name foi mapeado para principal.resource.name é mapeado para "TCP" target_ip está mapeado para target.ip. target_port está mapeado para target.port. security_description + security_result_description_2 é mapeada para security_result.description pid foi mapeado para principal.process.parent_process.pid network.application_protocol está definido como "HTTP" o carimbo de data/hora é mapeado para %{year}/%{day}/%{month} %{time} target.platform está definida como "LINUX" "metadata.vendor_name" está definido como "NGINX" "metadata.product_name" está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falha na verificação de comandos obrigatórios | [<message_text>]{security_description} | STATUS_UPDATE | time é mapeado para metadata.timestamp securtiy_description está mapeado para security_result.description. principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Verificando o arquivo '/dev/.oz/.nap/rkit/terror' [ Não encontrado ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path. security_description é mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | ossec: tamanho do arquivo reduzido (inode permaneceu): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time é mapeado para metadata.timestamp metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path. principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| /var/log/kern.log | 7 de julho 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: origem marciana 1.20.32.39 de 192.0.2.1, em dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" target_ip está mapeado para "target.ip". principal_ip é mapeado para "principal.ip". target_user_userid está mapeado para "target.user.userid" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/kern.log | 25 de outubro 10:10:51 kernel do localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description" file_path é mapeado para "principal.process.file" pid é mapeado para "principal.process.pid" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/kern.log | 28 de abril 12:41:35 kernel do localhost: [ 5079.912215] ctnetlink v0.93: registrando-se com nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/kern.log | 28 de abril 11:17:01 kernel do localhost: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU a 2,20 GHz (família: 0x6, modelo: 0x55, passo: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model" metadata_description é mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" cpu_model está mapeado para principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 de janeiro 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid http_method está mapeado para network.http.method. response_code é mapeado para network.http.response_code recurso está mapeado para target.url target_ip está mapeado para target.ip. receive_bytes é mapeado para network.received_bytes metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" A linha de comando está mapeada para principal.process.command_line |
| /var/log/syslog.log | 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Solicitação recebida de um novo agente (zsecmgr0000-0719) de: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid log_level é mapeado para security_result.severity a mensagem é mapeada para metadata.description A linha de comando está mapeada para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" target_ip está mapeado para target.ip. |
| /var/log/syslog.log | 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: nova conexão de 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid log_level é mapeado para security_result.severity description é mapeado para security_result.description A linha de comando está mapeada para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | 29 de janeiro 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: nome de agente inválido zsecmgr0000-0719 (duplicado) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid log_level é mapeado para security_result.severity description + reason é mapeado para security_result.description A linha de comando está mapeada para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | 2 de maio 06:25:01 localhost apachectl[64942]: AH00558: apache2: Não foi possível determinar de forma confiável o nome de domínio totalmente qualificado do servidor usando ::1. Defina a diretiva "ServerName" globalmente para suprimir esta mensagem | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid a mensagem é mapeada para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" A linha de comando está mapeada para principal.process.command_line |
| /var/log/syslog.log | 2 de maio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 bytes) cortados | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid a mensagem é mapeada para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" A linha de comando está mapeada para principal.process.command_line |
| /var/log/syslog.log | 3 de maio 10:14:37 localhost rsyslogd: userid de rsyslogd alterado para 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collections_time é mapeada para metadata.collected_timestamp nome do host associado a principal.hostname a mensagem é mapeada para metadata.description user_id foi mapeado para principal.user.userid A linha de comando está mapeada para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | 5 de maio 10:36:48 localhost systemd[1]: iniciando o serviço de geração de registros do sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collections_time é mapeada para metadata.event_timestamp nome do host associado a principal.hostname pid foi mapeado para principal.process.pid a mensagem é mapeada para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" A linha de comando está mapeada para principal.process.command_line |
| /var/log/mail.log | 16 de março 11:40:56 sendmail do Ubuntu18[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G8.proto1=Ubuntu.cd18,cdme_10 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid resource_name foi mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (fila ativa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:01 prod postfix/smtp[23436]: conecte-se a gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: A rede está inacessível | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | 7 de abril 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=enviado (entregue na caixa de correio) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está mapeado para target.hostname aplicativo está mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap: o acesso à chave de configuração "[filterNames]" pela notação de ponto foi descontinuado e será removido em uma versão futura. Em vez disso, use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, em {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | A linha de comando é mapeada para "target.process.command_line" file_path é mapeado para "target.process.file.full_path" o carimbo de data/hora é mapeado para "metadata.event_timestamp" gravidade é mapeada para "security_result.severity" summary é mapeado para "security_result.summary" security_description é mapeado para "security_result.description" metadata.product_name está definido como "OSSEC" metadata.vendor_name está definido como "OSSEC" |
| /var/log/auth.log | 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: remoção da sessão 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | o carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, o principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele vai ser mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid". "principal.platform" é mapeado para "LINUX" if(Remove_session) event_type for USER_LOGOUT Extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED. metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: nova sessão 3205 da raiz do usuário. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | o carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, o principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele vai ser mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid". "principal.platform" é mapeado para "LINUX" "network.application_protocol" é mapeado para "SSH" se(new_session) event_type estiver definido como USER_LOGIN Extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED. metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 28 de abril 11:35:31 Ubuntu18 sshd[23573]: senha aceita para raiz da porta 10.0.1.1 da porta 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | o carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, o principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele vai ser mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid". principal_ip é mapeado para "principal.ip". principal_port é mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeada para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 28 de abril 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failed; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | o carimbo de data/hora é mapeado para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, o principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele vai ser mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" principal_user_uuserid é mapeado para "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv é mapeado para "principal.user.attribute.labels.key/value" principal_ruser_userid é mapeado para "principal.user.attribute.labels.key/value" target_ip está mapeado para "target.ip". Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 24 Fev 00:13:02 precisa32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | o carimbo de data/hora é mapeado para metadata.timestamp principal_hostname foi mapeado para principal.hostname principal_application está mapeado para principal.application pid foi mapeado para principal.process.pid principal_user_userid está mapeado para target.user.userid security_description é mapeado para "security_result.description" principal_process_command_line_1 é mapeado para "principal.process.command_line" principal_process_command_line_2 é mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão aberta para a raiz do usuário por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | o carimbo de data/hora é mapeado para metadata.timestamp Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, o principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele vai ser mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão encerrada para a raiz do usuário | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | o carimbo de data/hora é mapeado para metadata.timestamp Se metadata.event_type for USER_LOGOUT, o principal_hostname será mapeado para "target.hostname". Caso contrário, ele será mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, o principal_application será mapeado para "target.application". Caso contrário, será mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, o pid será mapeado para "target.process.pid". Caso contrário, ele vai ser mapeado para "principal.process.pid". security_description é mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, o principal_user_userid será mapeado para "principal.user.userid". Caso contrário, ele será mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 24 de maio 12:56:31 ip-10-50-2-176 sshd[119931]: tempo limite, o cliente não está respondendo. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | o carimbo de data/hora é mapeado para metadata.timestamp principal_hostname foi mapeado para principal.hostname principal_application está mapeado para principal.application pid foi mapeado para principal.process.pid security_result_description está mapeado para security_result_description "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(Initialize_winbindd_cache)Initialize_winbindd_cache: limpar o cache e recriar com a versão número 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | o carimbo de data/hora é mapeado para "metadata.timestamp" pid é mapeado para "principal.process.pid" principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels" principal_user_userid é mapeado para "principal.user.userid" principal_group_product_object_id é mapeado para "principal.group.product_object_id" security_description é mapeado para "security_result.description" metadata_description é mapeado para "metadata.description" metadata.product_name está definido como "OSSEC" "metadata.vendor_name" está definido como "OSSEC" |
| var/log/samba/log.winbindd | Messaging_dgm_init: falha na vinculação: não há espaço disponível no dispositivo | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name está definido como "OSSEC" metadata.vendor_name" está definido como "OSSEC" user_id foi mapeado para principal.user.userid desc é mapeado para metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MLOGIN34: Aprenda: 172.hit_1.29.2022-04-29.05:21:22 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | o carimbo de data/hora é mapeado para metadata.timestamp log_level é mapeado para security_result.severity local_ip foi mapeado para principal.ip. target_ip está mapeado para target.ip. target_hostname está mapeado para principal.hostname a porta está mapeada para target.port. usuário foi mapeado para principal.user.user_display_name metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 28-04-2022T16:14:13+0530 [stdout#info] [OVPN 6] SAÍDA: '2022-04-28 16:14:13 versões da biblioteca: OpenSSL 1.1.1 11 de setembro de 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | o carimbo de data/hora é mapeado para metadata.timestamp log_level é mapeado para security_result.severity msg é mapeada para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] [OVPN 4] OUT:5.NET.NET20I | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
a mensagem foi mapeada para <message_text>com[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | o carimbo de data/hora é mapeado para metadata.timestamp log_level é mapeado para security_result.severity mensagem é mapeada para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 1022-04-29T10:51:22+0530 | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | o carimbo de data/hora é mapeado para metadata.timestamp log_level é mapeado para security_result.severity mensagem é mapeada para security_result.description usuário foi mapeado para principal.user.user_display_name ip mapeado para principal.ip metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | o carimbo de data/hora é mapeado para metadata.timestamp log_level é mapeado para security_result.severity mensagem é mapeada para security_result.description summary é mapeado para security_result.summary user_name foi mapeado para principal.user.user_display_name cli está mapeado para principal.process.command_line status é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform está definido como "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="system add-update-success-success-system'res'res' exe" | type={audit_log_type} |
EventType na planilha atual, guia "Mapeamento de EventType" do registro de auditoria | audit_log_type está mapeado para metadata.product_event_type metadata_ingested_timestamp é mapeado para "metadata.event_timestamp" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.plateform está definido como "LINUX" os dados são mapeados para par de chave-valor -> mapeamento de UDM na guia atual audit.log da planilha |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: iniciando a verificação do syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity A linha de comando é mapeada para target.process.command_line metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Fila '/queue/alerts/ar' indisponível: 'Conexão recusada'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description recurso está mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Exploring file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path. metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:25 ossec-syscheckd: INFO: ignorando: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path. metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1103): ERRO: não foi possível abrir o arquivo '/queue/rids/004' devido a [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path. metadata_description é mapeado para metadata.description error_code foi mapeado para security_result.summary error_metadata_description é mapeado para security_result.summary metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERROR: não foi possível vincular a porta "1514" | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description a porta está mapeada para target.port. metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:05 ossec-analysisd: INFO: Arquivo de regras de leitura: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path. metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:32:06 ossec-analysisd: INFO: ignorando o arquivo: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | aplicativo está mapeado para target.application pid é mapeado para target.process.pid gravidade é mapeada para security_result.severity file_path é mapeado para target.file.full_path. metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| processo ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | é mapeado para network.ip_protocol pid foi mapeado para principal.process.pid metadata.description está definido como o Nome do programa: %{process_name} metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| syscheck | Arquivo '/usr/bin/fwts' modificado | Arquivo "{file_path}" {description} | FILE_MODIFICATION | description é mapeado para metadata.description file_path é mapeado para target.file.full_path. metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
Auditar
Campos de registro de auditoria para campos de UDM
A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos de UDM correspondentes.
| Campo de registro | Campo de UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| Auid | target.user.userid |
| grupo de discussão | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dados | about.labels.key/value |
| Devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| família | network.ip_protocol está definido como "IP6IN4" se "ip_protocol" == 2 está definido como "UNKNOWN_IP_PROTOCOL" |
| tipo de arquivo | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nome do host | target.hostname |
| tipo icmp | network.ip_protocol está definido como "ICMP" |
| id | Se [audit_log_type] == "ADD_USER", target.user.userid será definido como "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}" caso contrário, target.user.attribute.labels.key/value será definido como ID |
| inode | target.resource.product_object_id |
| chave | security_result.detection_fields.key/value |
| lista | security_result.about.labels.key/value |
| modo | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| nova-vcpu | target.resource.attribute.labels.key/value |
| rede-nova | pincipal.mac |
| new_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| opid | target.process.pid |
| Oses | network.session_id |
| OID | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogida | target.group.product_object_id |
| OID | target.user.userid |
| path | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol está definido como "IP6IN4"
caso contrário, network.ip_protocol está definido como "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| result | security_result.summary |
| Saddr | security_result.detection_fields.key/value |
| Sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| sucesso | Se success=='yes', securtiy_result.summary será definido como "chamada do sistema foi bem-sucedida"
caso contrário, securtiy_result.summary está definido como "systemcall was failed" |
| Sui | target.user.userid |
| chamada do sistema | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_USER, DEL_USER, USER_CMD _user_POLICY]
caso contrário, o ID de usuário está definido como target.user.userid |
| vm | target.resource.name |
Tipos de registro de auditoria para tipo de evento de UDM
A tabela a seguir lista os tipos de registro de auditoria e os tipos de evento de UDM correspondentes.
| Tipo de registro de auditoria | Tipo de evento de UDM | Descrição |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Acionado quando um grupo de espaço do usuário é adicionado. |
| ADD_USER | USER_CREATION | Acionado quando uma conta de usuário no espaço do usuário é adicionada. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de núcleo, se ativado). |
| AVC | GENERIC_EVENT | Acionado para gravar uma verificação de permissão do SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Acionado quando a configuração do sistema de auditoria é modificada. |
| CRED_ACQ | USER_LOGIN | Acionado quando um usuário adquire as credenciais do espaço do usuário. |
| CRED_DISP | USER_LOGOUT | Acionado quando um usuário descarta as credenciais do espaço do usuário. |
| CRED_REFR | USER_LOGIN | Acionado quando um usuário atualiza as credenciais do espaço do usuário. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Acionado para registrar o identificador da chave criptográfica usado para fins criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Acionado para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para gravar o diretório de trabalho atual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Acionado quando um daemon é interrompido devido a um erro. |
| DAEMON_END | PROCESS_TERMINATION | Acionado quando um daemon é interrompido com sucesso. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd retoma a geração de registros. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd faz a rotação dos arquivos de registro de auditoria. |
| DAEMON_START | PROCESS_LAUNCH | Acionado quando o daemon auditd é iniciado. |
| DEL_GROUP | GROUP_DELETION | Acionado quando um grupo de espaço do usuário é excluído |
| Pendente | USER_DELETION | Acionado quando um usuário no espaço do usuário é excluído |
| EXECVE | PROCESS_LAUNCH | Acionado para registrar argumentos da chamada de sistema "execve(2)". |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Acionado quando um valor booleano do SELinux é alterado. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um evento IPSec, quando um evento é detectado ou quando a configuração de IPSec muda. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Acionado quando um arquivo de política do SELinux é carregado. |
| MAC_STATUS | GENERIC_EVENT | Acionado quando o modo SELinux (aplicador, permissivo, desativado) é alterado. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecidos pelo NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Acionado quando as modificações da cadeia do Netfilter são detectadas. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um processo para o qual um indicador é enviado. |
| PATH | FILE_OPEN/GENERIC_EVENT | Acionado para gravar informações do caminho do nome de arquivo. |
| SELINUX_ERR | GENERIC_EVENT | Acionado quando um erro interno do SELinux é detectado. |
| SERVICE_START | SERVICE_START | Acionado quando um serviço é iniciado. |
| SERVICE_STOP | SERVICE_STOP | Acionado quando um serviço é interrompido. |
| SYSCALL | GENERIC_EVENT | Acionado para gravar uma chamada de sistema para o kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Acionado quando o sistema é inicializado. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Acionado quando o nível de execução do sistema é alterado. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Acionado quando o sistema é desligado. |
| USER_ACCT | SETTING_MODIFICATION | Acionado quando uma conta de usuário no espaço do usuário é modificada. |
| USER_AUTH | USER_LOGIN | Acionado quando uma tentativa de autenticação no espaço do usuário é detectada. |
| USER_AVC | USER_UNCATEGORIZED | Acionado quando uma mensagem AVC do espaço do usuário é gerada. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Acionado quando um atributo de conta de usuário é modificado. |
| USER_CMD | USER_COMMUNICATION | Acionado quando um comando do shell do espaço do usuário é executado. |
| USER_END | USER_LOGOUT | Acionado quando uma sessão do espaço do usuário é encerrada. |
| USER_ERR | USER_UNCATEGORIZED | Acionado quando um erro de estado da conta de usuário é detectado. |
| USER_LOGIN | USER_LOGIN | Acionado quando um usuário faz login. |
| USER_LOGOUT | USER_LOGOUT | Acionado quando um usuário sai. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Acionado quando um daemon do espaço do usuário carrega uma política do SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Acionado para registrar dados de gerenciamento do espaço do usuário. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Acionado quando o papel SELinux de um usuário é alterado. |
| USER_START | USER_LOGIN | Acionado quando uma sessão no espaço do usuário é iniciada. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Acionado quando uma mudança na configuração do sistema do espaço do usuário é detectada. |
| VIRT_CONTROL | STATUS_UPDATE | Acionado quando uma máquina virtual é iniciada, pausada ou interrompida. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Acionado para gravar a vinculação de um rótulo a uma máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Acionado para registrar a atribuição de recursos de uma máquina virtual. |
Enviar campos de registro de e-mail para campos de UDM
A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos de UDM correspondentes.
| Campo de registro | Campo de UDM |
|---|---|
| Aula | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| De | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Conexão relay | intermediary.hostname
intermediary.ip |
| Tamanho | network.received_bytes |
| Estatística | security_result.summary |
| a | network.email.to |
Tipos de registro de e-mail para o tipo de evento de UDM
A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento de UDM correspondentes.
| Tipo de registro de e-mail | Tipo de evento de UDM |
|---|---|
| enviar e-mail | GENERIC_EVENT |
| pickup | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| Local | EMAIL_UNCATEGORIZED |