Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Coletar registros da OSSEC

Neste documento, descrevemos como coletar registros da OSSEC configurando essa ferramenta e um encaminhador do Chronicle. Neste documento, também listamos os tipos de registro e a versão do OSSEC compatíveis.

Veja mais informações em Ingestão de dados no Chronicle.

Visão geral

O diagrama da arquitetura de implantação a seguir mostra como os agentes e servidores do OSSEC são configurados para enviar registros ao Chronicle. Cada implantação de cliente pode ser diferente dessa representação e pode ser mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

  • Sistema Linux O sistema Linux que será monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no agente OSSEC.

  • Sistema do Microsoft Windows. O sistema Microsoft Windows a ser monitorado onde o agente OSSEC está instalado.

  • Agente OSSEC. O agente do OSSEC coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o servidor do OSSEC.

  • Servidor OSSEC. O servidor OSSEC monitora e recebe informações dos agentes da OSSEC, analisa os registros e os encaminha ao encaminhador do Chronicle.

  • Encaminhamento do Chronicle. O encaminhador do Chronicle é um componente de software leve, implantado na rede do cliente e compatível com syslog. O encaminhador do Chronicle encaminha os registros para o Chronicle.

  • Chronicle. O Chronicle retém e analisa os registros do servidor do OSSEC.

Um identificador de ingestão identifica o analisador que normaliza os dados brutos de registro no formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de processamento OSSEC.

Antes de começar

  • Verifique se o agente do OSSEC está instalado nos sistemas Microsoft Windows ou Linux que você pretende monitorar. Para mais informações sobre como instalar o agente de OSSEC, consulte Instalação da OSSEC.

  • Use uma versão do OSSEC compatível com o analisador do Chronicle. O analisador do Chronicle é compatível com a OSSEC versão 3.6.0.

  • Verifique se o servidor OSSEC está instalado e configurado no servidor Linux central.

  • Verifique os tipos de registro compatíveis com o analisador do Chronicle. A tabela a seguir lista os caminhos dos produtos e arquivo de registro compatíveis com o analisador do Chronicle:

    Sistema operacional Produto Caminho do arquivo de registros
    Dispositivo Microsoft Windows Dispositivo Microsoft Windows Logs de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux Linux /var/log/ulog/syslogemu.log
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux Abrir VN /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux Rkhunter /var/log/rkhunter.log
    Linux: servidor OSSEC OSSEC /var/ossec/logs/ossec.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/rundeck.api.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log
  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

Configure o agente e o servidor OSSEC e o encaminhador do Chronicle

Para configurar o agente e o servidor OSSEC e o encaminhador do Chronicle, faça o seguinte:

  1. Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo ossec.conf para especificar a configuração de monitoramento de registros do agente. Veja um exemplo de arquivo de configuração para o agente no sistema Linux:

    <ossec_config>
    
    <!-- Files to monitor (localfiles) -->
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/ossec/logs/ossec.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/auth.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/kern.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/mail.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/syslog</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/error.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/access.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/other_vhost_access.log</location>
    </localfile>
    
    <localfile>
     <log_format>apache</log_format>
     <location>/var/log/apache2/nonvnc-server-access.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/nginx/access.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/nginx/error.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/openvpnas.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/rkhunter.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/rundeck/service.log</location>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/samba/log.winbindd</location>
    </localfile>
    
    <localfile>
     <log_format>command</log_format>
     <command>df -P</command>
    </localfile>
    
    <localfile>
     <log_format>syslog</log_format>
     <location>/var/log/audit/audit.log</location>
    </localfile>
    
    <localfile>
     <log_format>full_command</log_format>
     <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
    </localfile>
    
    <localfile>
     <log_format>full_command</log_format>
     <command>last -n 5</command>
    </localfile>
    </ossec_config>
    
    
  2. Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo ossec.conf para especificar a configuração de monitoramento de registros do agente. Veja um exemplo de arquivo de configuração para o agente no sistema Microsoft Windows:

    <ossec_config>
    <!-- Channels to monitor (localfiles) -->
    <localfile>
     <log_format>Security</log_format>
     <location>eventchannel</location>
    </localfile>
    
    <localfile>
     <log_format>System</log_format>
     <location>eventchannel</location>
    </localfile>
    
    <localfile>
     <log_format>Application</log_format>
     <location>eventchannel</location>
    </localfile>
    </ossec_config>
    
  3. Para encaminhar os registros do servidor OSSEC para o Chronicle usando o protocolo syslog, crie o arquivo de configuração do servidor OSSEC syslog.conf no seguinte formato:

    .*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
    
  4. Configure o encaminhador do Chronicle para enviar registros para ele. Veja mais informações em Como instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração do encaminhador do Chronicle:

      - syslog:
          common:
            enabled: true
            data_type: OSSEC
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10514
          connection_timeout_sec: 60
    

Referência de mapeamento de campo

Nesta seção, explicamos como o analisador do Chronicle aplica padrões de Grog para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do OSSEC para os campos do Modelo de dados unificado do Chronicle (UDM) para cada tipo de registro.

Veja informações sobre como mapear a referência de campos comuns em Campos comuns.

Para informações de referência sobre caminhos de registro, padrões grok para exemplos de registros, tipos de evento e campos UDM em sistemas Linux, consulte as seguintes seções:

Para informações sobre os eventos compatíveis com o Microsoft Windows e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.

Campos comuns

A tabela a seguir lista os campos de registro mais comuns e os campos de UDM correspondentes.

Campo de registro comum Campo UDM
coletados_hora metadata.collected_timestamp
application principal.application
log metadados.descrição
ip target.ip ou principal.ip
hostname target.hostname ou principal.hostname

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos de UDM:

Caminho do registro Registro de exemplo Padrão de Grog Tipo de evento Mapeamento do UDM
/var/log/apache2/error.log [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [cliente 1.200.32.47:59840] não consegue se conectar [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description.

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] não consegue se conectar [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

error_message é mapeado para security_result.description.

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*),referenciador{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description.

target.platform é definido como "LINUX".

referenceer_url é mapeado para network.http.referral_url

/var/log/apache2/error.log Domingo , 30 de janeiro 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH01114: HTTP: error.0 com1 para1. [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [cliente {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" HTTP_NETWORK

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description.

target_ip é mapeado para target.ip

referenceer_url é mapeado para network.http.referral_url

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 fev 00:30:55 2019] Nova conexão: [conexão: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 fev 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid.

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 de fev.00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [cliente 192.0.2.1:50784/AH00128/localhost/2012] [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[cliente {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_level é mapeado para security_result.severity

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid.

connection_id é mapeado para network.session_id

error_message é mapeado para security_result.description.

file_path é mapeado para target.file.full_path

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/access.log . ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? HTTP_NETWORK

client_ip é mapeado para principal.ip

ID do usuário é mapeado para principal.user.userid

o host é mapeado para principal.hostname

o carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

client_protocol é mapeado para network.application_protocol

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

var/log/apache2/other_vhosts_access.log wontest.abc.com:80 ::1 - - [14/jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<<Optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) HTTP_NETWORK

target_host é mapeado para target.hostname.

target_port é mapeado para target.port.

client_ip é mapeado para principal.ip

ID do usuário é mapeado para principal.user.userid

o host é mapeado para principal.hostname

o carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

network.application_protocol está definido como "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /altostrat.com (<campo_opcional>{referência_do_URL}?)->(<campo_opcional>{caminho}?) EVENTO GENERICO

o caminho está mapeado para target.url

referenceer_url é mapeado para network.http.referral_url

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<opcional_campo>{user_agent}) EVENTO GENERICO

user_agent é mapeado para network.http.user_agent

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

var/log/nginx/access.log 172.16.19.228 - admin [05/Maio/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows G 60.07, Google {principal_ip}: (<opcional_campo>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? HTTP_NETWORK

o horário é mapeado para metadata.timestamp

O IP está mapeado para target.ip

principal_ip é mapeado para principal.ip

principal_user_userid é mapeado para principal.user.userid

metadata_timestamp é mapeado para carimbo de data/hora

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

o protocolo é mapeado para network.application_protocol = (HTTP)

response_code é mapeado para network.http.response_code

Received_bytes é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" com falha (2: sem arquivo ou diretório), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status9/1.0.\". "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 está mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() to ({target_ip}|[{target_ip}]):{target_port} falhou ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

HTTP_NETWORK

thread_id é mapeado para principal.process.pid.

severity é mapeado para security_result.severity

(a depuração é mapeada para UNKNOWN_SEVERITY, as informações são mapeadas para INFORMATIONAL, o aviso é mapeado para LOW, o aviso é mapeado para MEDIUM, o erro é mapeado para ERROR, o crit é mapeado para CRITIAL, o alerta é mapeado para HIGH)

target_file_full_path é mapeado para target.file.full_path.

principal_ip é mapeado para principal.ip

target_hostname é mapeado para target.hostname

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

o protocolo é mapeado para "TCP"

target_ip é mapeado para target.ip

target_port é mapeado para target.port.

security_description + security_result_description_2 está mapeado para security_result.description.

pid é mapeado para principal.process.parent_process.pid.

network.application_protocol está definido como "HTTP"

carimbo de data/hora é mapeado para %{year}/%{day}/%{month} %{time}

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

var/log/rkhunter.log [14:10:40] Falha na verificação de comandos obrigatórios [<mensagem_texto>]{segurança_descrição} STATUS_ATUALIZAÇÃO

o horário é mapeado para metadata.timestamp

securtiy_description é mapeado para security_result.description.

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Verificando arquivo "/dev/.oz/.nap/rkit/terror" [ Não encontrado ] [<message_text>] {security_description} {file_path} [{metadata_description}] ARQUIVO_UNCATEGORIZED

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

security_description é mapeada para security_result.description.

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log ossec: tamanho de arquivo reduzido (inode restante): '/var/log/rkhunter.log'. (<optional_field><message_text>:){metadata_description}:'{file_path}' ARQUIVO_UNCATEGORIZED

o horário é mapeado para metadata.timestamp

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

/var/log/kern.log 7 de julho 18:48:32 kernel zynvpnsvr: [2081387.006876] IPv4: origem marcial 1.20.32.39 de 192.0.2.1, em dev as0t5 {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, em desenvolvimento {target_user_userid} NETWORK_CONNECTION o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

target_ip é mapeado para "target.ip"

principal_ip é mapeado para "principal.ip"

target_user_userid é mapeado para "target.user.userid"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

/var/log/kern.log 25 de outubro 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 {timestamp}{principal_hostname}{metadata_product_event_type}: <mensagem_text>\Operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} STATUS_ATUALIZAÇÃO o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

file_path é mapeado para "principal.process.file"

pid é mapeado para "principal.process.pid"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

/var/log/kern.log 28 de abril 12:41:35 kernel do host local: [ 5079.912215] ctnetlink v0.93: registrar com nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<mensagem_text>?]{metadata_description} STATUS_ATUALIZAÇÃO o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

/var/log/kern.log 28 de abril 11:17:01 kernel do host local: [ 0,030139] smpboot: CPU0: Intel(R) Xeon(R) Ouro 5220R CPU @ 2,20 GHz (família: 0x6, modelo: 0x55, passo: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<mensagem_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_ATUALIZAÇÃO o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

cpu_model é mapeado para principal.asset.hardware.cpu_model

/var/log/syslog.log 29 de janeiro 13:51:46 winevt env[29194]: [29/jan/2022:13:51:46] REQUERAMENTOS DO GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} NETWORK_CONNECTION

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

http_method é mapeado para network.http.method

response_code é mapeado para network.http.response_code

O recurso é mapeado para target.url

target_ip é mapeado para target.ip

Received_bytes é mapeado para network.received_bytes

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: solicitação recebida para um novo agente (zsecmgr0000-0719) de: 3.4.5.6 {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname}) de: {target_ip} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

log_level é mapeado para security_result.severity

a mensagem está mapeada para metadata.description

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

target_ip é mapeado para target.ip

/var/log/syslog.log 26 de julho 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: nova conexão do 3.4.5.6 {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description} de {target_ip} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

log_level é mapeado para security_result.severity

descrição é mapeada para security_result.description

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

/var/log/syslog.log 29 de janeiro 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: nome do agente inválido zsecmgr0000-0719 (cópia) {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

log_level é mapeado para security_result.severity

descrição + motivo é mapeada para security_result.description

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

/var/log/syslog.log 2 de maio 06:25:01 localhost apachectl[64942]: AH00558: apache2: não foi possível determinar de forma confiável o nome de domínio totalmente qualificado do servidor, usando ::1. Defina a diretiva "ServerName" globalmente para suprimir esta mensagem {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{mensagem} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

a mensagem está mapeada para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 2 de maio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 bytes) cortados {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{mensagem} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

a mensagem está mapeada para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 3 de maio 10:14:37 localhost rsyslogd: o userid do rsyslogd foi alterado para 102 {collected_timestamp}{hostname}{command_line}:{message}para{user_id} STATUS_ATUALIZAÇÃO

coletados_hora é mapeado para metadata.collected_timestamp

o nome do host é mapeado para principal.hostname

a mensagem está mapeada para metadata.description

user_id é mapeado para principal.user.userid

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

/var/log/syslog.log 5 de maio 10:36:48 localhost systemd[1]: Iniciando o Serviço de registro do sistema... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{mensagem} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

a mensagem está mapeada para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/mail.log 16 de março 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH0 Linux] {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} STATUS_ATUALIZAÇÃO

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> STATUS_ATUALIZAÇÃO

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

resource_name é mapeado para target.resource.name

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (fila ativa) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:01 prod postfix/smtp[23436]: conectar a gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: a rede está inacessível {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} STATUS_ATUALIZAÇÃO

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/mail.log 7 de abril 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, transmite=local, atraso=0.01, atrasos=0/0.01/0/0, dsn=2.0.0, status=enviado (enviado para a caixa de e-mails) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - o acesso à chave de configuração "[filterNames]" por meio da notação por pontos foi descontinuado e será removido em uma versão futura. Use "config.getProperty(key, targetClass)". [{timestamp}]{severity}{summary}\-{security_description}

, em {command_line}\({file_path}:<mensagem_text>\)

STATUS_ATUALIZAÇÃO

command_line é mapeado para "target.process.command_line"

file_path é mapeado para "target.process.file.full_path"

o carimbo de data/hora é mapeado para "metadata.event_timestamp"

severity é mapeado para "security_result.severity"

O resumo está mapeado para "security_result.summary".

security_description é mapeada para "security_result.description"

metadata.product_name está definido como "OSSEC"

metadata.vendor_name está definido como "OSSEC"

/var/log/auth.log 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: remoção da sessão 3080. {timestamp} {principal_nomedohost}{principal_application}(<campo_opcional>[{pid}]):{security_description}{network_session_id}?(do usuário{principal_user_userid})? USER_LOGOUT

o carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type é USER_LOGOUT, o principal_hostname é mapeado para "target.hostname". Caso contrário, ele é mapeado para "principal.hostname".

Se metadata.event_type é USER_LOGOUT, o principal_application é mapeado para "target.application". Caso contrário, é mapeado para "primary.application".

Se metadata.event_type é USER_LOGOUT, o pid é mapeado para "target.process.pid". Caso contrário, ele é mapeado para "principal.process.pid".

security_description é mapeada para "security_result.description"

network_session_id é mapeado para "network.session_id"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid é mapeado para "principal.user.userid". Caso contrário, ele é mapeado para "target.user.userid".

"principal.platform" é mapeado para "LINUX"

if_removed_session) event_type está definido como USER_LOGOUT

extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 28 de abril 11:33:24 Ubuntu18 systemd-logind[836]: nova sessão 3205 da raiz do usuário. {timestamp} {principal_nomedohost}{principal_application}(<campo_opcional>[{pid}]):{security_description}{network_session_id}?(do usuário{principal_user_userid})? LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type é USER_LOGOUT, o principal_hostname é mapeado para "target.hostname". Caso contrário, ele é mapeado para "principal.hostname".

Se metadata.event_type é USER_LOGOUT, o principal_application é mapeado para "target.application". Caso contrário, é mapeado para "primary.application".

Se metadata.event_type é USER_LOGOUT, o pid é mapeado para "target.process.pid". Caso contrário, ele é mapeado para "principal.process.pid".

security_description é mapeada para "security_result.description"

network_session_id é mapeado para "network.session_id"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid é mapeado para "principal.user.userid". Caso contrário, ele é mapeado para "target.user.userid".

"principal.platform" é mapeado para "LINUX"

"network.application_protocol" é mapeado para "SSH"

event(type_session) event_type está definido como USER_LOGIN

extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 28 de abril 11:35:31 Ubuntu18 sshd[23573]: senha aceita para raiz da porta 10.0.1.1 40503 ssh2 {timestamp} {principal_nomedohost}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido) ?{principal_user_userid} da porta {principal_ip} {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_fileds_vv_vv5} LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type é USER_LOGOUT, o principal_hostname é mapeado para "target.hostname". Caso contrário, ele é mapeado para "principal.hostname".

Se metadata.event_type é USER_LOGOUT, o principal_application é mapeado para "target.application". Caso contrário, é mapeado para "primary.application".

Se metadata.event_type é USER_LOGOUT, o pid é mapeado para "target.process.pid". Caso contrário, ele é mapeado para "principal.process.pid".

security_description é mapeada para "security_result.description"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid é mapeado para "principal.user.userid". Caso contrário, ele é mapeado para "target.user.userid".

principal_ip é mapeado para "principal.ip"

principal_port é mapeado para "principal.port"

security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value"

security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 28 de abril 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): falha de autenticação; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root {timestamp} {principal_nomedohost}{principal_application}([{pid}])<campo_opcional> <mensagem_text>: {security_description};logname=(<mensagem_text>)?uid=({principal_user_user_labels})?euid=({principal_user_attribute_labels_euid_kv})?idty=(<message_text_labels})useruser{ip_user=}) LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para "metadata.timestamp"

Se metadata.event_type é USER_LOGOUT, o principal_hostname é mapeado para "target.hostname". Caso contrário, ele é mapeado para "principal.hostname".

Se metadata.event_type é USER_LOGOUT, o principal_application é mapeado para "target.application". Caso contrário, é mapeado para "primary.application".

Se metadata.event_type é USER_LOGOUT, o pid é mapeado para "target.process.pid". Caso contrário, ele é mapeado para "principal.process.pid".

security_description é mapeada para "security_result.description"

principal_user_uuserid é mapeado para "principal.user.attribute.labels"

principal_user_attribute_labels_euid_kv é mapeado para "principal.user.attribute.labels.key/value"

principal_ruser_userid é mapeado para "principal.user.attribute.labels.key/value"

target_ip é mapeado para "target.ip"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid".

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 24 de fevereiro 00:13:02 exato32 sudo: tsg : usuário NÃO em sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_nome do host}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<mensagem_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; Command={={Principal STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para metadata.timestamp

principal_hostname é mapeado para principal.hostname

principal_application é mapeado para principal.application

pid é mapeado para principal.process.pid

principal_user_userid é mapeado para target.user.userid

security_description é mapeada para "security_result.description"

principal_process_command_line_1 é mapeado para "principal.process.command_line"

principal_process_command_line_2 é mapeado para "principal.process.command_line"

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

/var/log/auth.log 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sessão aberta para raiz do usuário por (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para metadata.timestamp

Se metadata.event_type é USER_LOGOUT, o principal_hostname é mapeado para "target.hostname". Caso contrário, ele é mapeado para "principal.hostname".

Se metadata.event_type é USER_LOGOUT, o principal_application é mapeado para "target.application". Caso contrário, é mapeado para "primary.application".

Se metadata.event_type é USER_LOGOUT, o pid é mapeado para "target.process.pid". Caso contrário, ele é mapeado para "principal.process.pid".

security_description é mapeada para "security_result.description"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid é mapeado para "principal.user.userid". Caso contrário, ele é mapeado para "target.user.userid".

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 26 de abril 17:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGOUT

o carimbo de data/hora é mapeado para metadata.timestamp

Se metadata.event_type é USER_LOGOUT, o principal_hostname é mapeado para "target.hostname". Caso contrário, ele é mapeado para "principal.hostname".

Se metadata.event_type é USER_LOGOUT, o principal_application é mapeado para "target.application". Caso contrário, é mapeado para "primary.application".

Se metadata.event_type é USER_LOGOUT, o pid é mapeado para "target.process.pid". Caso contrário, ele é mapeado para "principal.process.pid".

security_description é mapeada para "security_result.description"

Se metadata.event_type for USER_LOGOUT, o principal_user_userid é mapeado para "principal.user.userid". Caso contrário, ele é mapeado para "target.user.userid".

principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

/var/log/auth.log 24 de maio 12:56:31 ip-10-50-2-176 sshd[119931]: Tempo limite, cliente não respondendo. {timestamp} {principal_nomedohost}{principal_application}([{pid}])<campo_opcional> {descrição_do_resultado_da_segurança} STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para metadata.timestamp

principal_hostname é mapeado para principal.hostname

principal_application é mapeado para principal.application

pid é mapeado para principal.process.pid

security_result_description está mapeado para security_result_description.

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como OSSEC

metadata.product_name está definido como OSSEC

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(boot_winbindd_cache)Initialize_winbindd_cache: limpar o cache e recriar com a versão número 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id})??]<message_text>:{security_description} STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para "metadata.timestamp"

pid é mapeado para "principal.process.pid"

principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels"

principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels"

principal_user_userid é mapeado para "principal.user.userid"

principal_group_product_object_id é mapeado para "principal.group.product_object_id"

security_description é mapeada para "security_result.description"

metadata_description é mapeado para "metadata.description"

metadata.product_name está definido como "OSSEC"

"metadata.vendor_name" está definido como "OSSEC"

var/log/samba/log.winbindd Messaging_dgm_init: falha ao vincular: não há espaço disponível no dispositivo {user_id}: {desc} STATUS_ATUALIZAÇÃO

metadata.product_name está definido como "OSSEC"

metadata.vendor_name" está definido como "OSSEC"

user_id é mapeado para principal.user.userid

desc. é mapeado para metadata.description

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: aprenda: 172.202.23.23.23.23.23. {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:saiba:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") HTTP_NETWORK

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

local_ip é mapeado para principal.ip

target_ip é mapeado para target.ip

target_hostname é mapeado para principal.hostname

a porta está mapeada para target.port

usuário foi mapeado para principal.user.user_display_name

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: "2022-04-28 16:14:13 versões da biblioteca: OpenSSL 1.1.1 11 de setembro de 2018, LZO 2.08" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_opcional>'|")<message_text>{msg}(<opcional_campo>'|") STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

A msg é mapeada para security_result.description.

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Conexão de peering iniciada com [AF_I125]5.015 [5_INET]. {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<field_field>'|")<message_text>{message}(<optional_field>'|")

A mensagem é mapeada para <message_text>com[<message_text>]<message_text>:{port}<message_text>

STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

a mensagem está mapeada para security_result.description.

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 1 {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<opcional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

a mensagem está mapeada para security_result.description.

usuário foi mapeado para principal.user.user_display_name

O IP está mapeado para principal.ip

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 20% {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

a mensagem está mapeada para security_result.description.

O resumo é mapeado para security_result.summary.

user_name é mapeado para principal.user.user_display_name

cli é mapeado para principal.process.command_line

status é mapeado para principal.user.user_authentication_status

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

/var/log/audit.log type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utm-update=utm="/"; type={audit_log_type}=audit((<optional_field>{metadata_ingested_timestamp}|{metadata_ingested_timestamp})<message_text>:<message_text>):{audit_message} EventType na guia de mapeamento EventType do registro de auditoria atual da planilha audit_log_type é mapeado para metadata.product_event_type

metadata_ingested_timestamp é mapeado para "metadata.event_timestamp"

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.plateform está definido como "LINUX"

os dados são mapeados para o par de chave-valor -> mapeamento UDM na guia atual audit.log da planilha

var/ossec/logs/ossec.log 2022/05/12 18:15:34 ossec-syscheckd: INFO: iniciar a verificação do syscheck {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_ATUALIZAÇÃO

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoramento da resposta completa do comando(360): last -n 5 {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} PROCESS_UNCATEGORIZED

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

command_line é mapeado para target.process.command_line

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' não acessível: 'Conexão recusada'. {timestamp} {application}(({pid}))<optional_field>{severity}: fila '{resource}'<message_text>:'{metadata_description}' USER_RESOURCE_ACCESS

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

metadata_description é mapeado para metadata.description

O recurso é mapeado para target.resource.name

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: analisando arquivo: '/var/log/rundeck/rundeck.log'. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' ARQUIVO_UNCATEGORIZED

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

file_path é mapeado para target.file.full_path

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignorando: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignorando<message_text>:'{file_path}' PROCESSO SCAN_

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

file_path é mapeado para target.file.full_path

metadata.vendor_name está definido como OSSEC

metadata.product_name está definido como OSSEC

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1410): INFO: lendo o arquivo de chaves de autenticação. {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_ATUALIZAÇÃO

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

metadata_description é mapeado para metadata.description

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Não foi possível abrir o arquivo "/queue/rids/004" devido a [(13)-(Permissão negada)]. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] ARQUIVO_UNCATEGORIZED

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

file_path é mapeado para target.file.full_path

metadata_description é mapeado para metadata.description

error_code é mapeado para security_result.summary.

error_metadata_description é mapeado para security_result.summary

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Não é possível vincular a porta "1514" {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' STATUS_ATUALIZAÇÃO

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

metadata_description é mapeado para metadata.description

a porta está mapeada para target.port

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:32:05 ossec-analysisd: INFO: arquivo de regras de leitura: 'ms-se_rules.xml' {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' ARQUIVO_DE_ARQUIVO

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignorando arquivo: '/etc/mnttab' {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignorando|ignorando arquivo)<message_text>:'{file_path}' ARQUIVO_UNCATEGORIZED

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

severity é mapeado para security_result.severity

file_path é mapeado para target.file.full_path

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

Processo ntpd udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} STATUS_ATUALIZAÇÃO

o protocolo é mapeado para network.ip_protocol

pid é mapeado para principal.process.pid

metadata.description está definido como nome do programa: %{process_name}

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

verificação do sistema Arquivo "/usr/bin/fwts" modificado Arquivo "{file_path}" {description} ARQUIVO_MODIFICAÇÃO

descrição é mapeada para metadata.description

file_path é mapeado para target.file.full_path

metadata.vendor_name está definido como "OSSEC"

metadata.product_name está definido como "OSSEC"

principal.platform é definido como "LINUX"

Auditoria

Campos de registro de auditoria para campos do UDM

A tabela a seguir lista os campos do registro do tipo de registro de auditoria e os campos de UDM correspondentes.

Campo de registro Campo UDM
conta target.user.user_display_name
adição principal.ip
arch about.labels.key/value
Auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comunicação target.application
cwd target.file.full_path
dados about.labels.key/value
Devmajor about.labels.key/value
devminor about.labels.key/value
Egid target.group.product_object_id
Euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
família network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2 outro é definido como "UNKNOWN_IP_PROTOCOL"
tipo de arquivo target.file.mime_type
fsgid target.group.product_object_id
FSF target.user.userid
gid target.group.product_object_id
hostname target.hostname
tipo de ICmp network.ip_protocol está definido como "ICMP"
id Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}"

else target.user.attribute.labels.key/value está definido como id

inode target.resource.product_object_id
chave segurança_resultado.detection_fields.key/value
list segurança_resultado.sobre.rótulos.chave/valor
mode target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nome target.file.full_path
novo disco target.resource.name
New-Mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
nova rede Pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
om, target.process.command_line
opid target.process.pid.
Oss network.session_id
OID target.user.userid
obj_gid target.group.product_object_id
Função obj_ target.user.attribute.role.name
obj_uid target.user.userid
Usuário obj target.user.user_display_name
Ogid target.group.product_object_id
OID target.user.userid
path target.file.full_path
permanente target.asset.attribute.permissions.name
pid target.process.pid.
código target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4"

else network.ip_protocol está definido como "UNKNOWN_IP_PROTOCOL"

RES segurança_resultado.resumo
result segurança_resultado.resumo
mais triste segurança_resultado.detection_fields.key/value
Sauid target.user.attribute.labels.key/value
CANNOT TRANSLATE network.session_id
forte target.group.product_object_id
Sig segurança_resultado.detection_fields.key/value
Usuário subj. target.user.user_display_name
sucesso Se sucesso=='sim', securtiy_result.summary está definido como 'chamada do sistema bem-sucedida'

else securtiy_result.summary está definido como "falha na chamada do sistema"

suid target.user.userid
chamada do sistema about.labels.key/value
terminal target.labels.key/value
TTD target.labels.key/value
uid Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MA_USER] USER_USER).

else uid está definido como target.user.userid

vm target.resource.name

Tipos de registro de auditoria para o tipo de evento do UDM

A tabela a seguir lista os tipos de registros de auditoria e os tipos de evento do UDM correspondentes.

Tipo de registro de auditoria Tipo de evento do UDM Descrição
ADD_GROUP Grupo_CREAÇÃO Acionado quando um grupo de espaço do usuário é adicionado.
ADICIONAR_USUÁRIO USER_CREATION Acionado quando uma conta de usuário do espaço do usuário é adicionada.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Acionado quando um processo termina de maneira anormal (com um sinal que pode causar um despejo de núcleo, se ativado).
AVC EVENTO GENERICO Acionado para gravar uma verificação de permissão do SELinux.
CONFIGURAR_ALTERAÇÃO USER_RESOURCE_UPDATE_CONTENT Acionado quando a configuração do sistema de auditoria é modificada.
QED_ACQ LOGIN_DO_USUÁRIO Acionado quando um usuário adquire credenciais do espaço do usuário.
CRED_DISP USER_LOGOUT Acionado quando um usuário descarta credenciais de espaço do usuário.
CRED_REFR LOGIN_DO_USUÁRIO Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Acionado para gravar o identificador de chave criptográfica usado para fins criptográficos.
CRYPTO_SESSÃO PROCESSO_TERMINAÇÃO Acionado para gravar os parâmetros definidos durante um estabelecimento da sessão TLS.
CWD (em inglês) SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT PROCESSO_TERMINAÇÃO Acionado quando um daemon é interrompido devido a um erro.
DAEMON_END PROCESSO_TERMINAÇÃO Acionado quando um daemon é interrompido.
DAEMON_RESUME PROCESS_UNCATEGORIZED Acionado quando o daemon auditado retoma a geração de registros.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Acionado quando o daemon auditado alterna os arquivos de registro de auditoria.
DAEMON_START PROCESSO_DE LANÇAMENTO Acionado quando o daemon auditado é iniciado.
GRUPO DEL GROUP_DELETION Acionado quando um grupo de espaço do usuário é excluído
Pendente USER_DELETION Acionado quando um usuário do espaço do usuário é excluído
EXECVE PROCESSO_DE LANÇAMENTO Acionado para gravar argumentos da chamada do sistema de execve(2).
MUDAR_CONFIGURAÇÃO_MUDANÇA EVENTO GENERICO Acionado quando um valor booleano SELinux é alterado.
Evento do MAC_IPSEC_ SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um evento IPSec, quando um é detectado ou quando a configuração IPIP muda.
MAC_POLICY_LOAD EVENTO GENERICO Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS EVENTO GENERICO Acionado quando o modo SELinux (aplicação, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecido pelo NetLabel.
NETFilter_CFG EVENTO GENERICO Acionado quando as modificações da cadeia do Netfilter são detectadas.
ID_OBJ SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar informações sobre um processo para o qual um sinal é enviado.
CAMINHO FILE_OPEN/GENERIC_EVENT Acionado para gravar as informações do caminho do nome do arquivo.
SELINUX_ERRO EVENTO GENERICO Acionado quando um erro interno do SELinux é detectado.
SERVICE_START SERVICE_START Acionado quando um serviço é iniciado.
STOP_SERVICE STOP_SERVICE Acionado quando um serviço é interrompido.
SYSCALL EVENTO GENERICO Acionado para gravar uma chamada do sistema para o kernel.
SISTEMA_BOOT STATUS_STARTUP Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL STATUS_ATUALIZAÇÃO Acionado quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Acionado quando o sistema é desligado.
USER_ACCT SETTING_MODIFICAÇÃO Acionado quando uma conta de usuário do espaço do usuário é modificada.
USER_AUTH LOGIN_DO_USUÁRIO Acionado quando uma tentativa de autenticação de espaço do usuário é detectada.
AVC de USER USER_UNCATEGORIZED Acionado quando uma mensagem AVC do espaço do usuário é gerada.
USER_CHAUTHTOK (em inglês) USER_RESOURCE_UPDATE_CONTENT Acionado quando um atributo de conta de usuário é modificado.
USER_CMD USER_COMMUNICATION Acionado quando um comando do shell do espaço do usuário é executado.
USUÁRIO_END USER_LOGOUT Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR USER_UNCATEGORIZED Acionado quando é detectado um erro de estado da conta de usuário.
LOGIN_DO_USUÁRIO LOGIN_DO_USUÁRIO Acionado quando um usuário faz login.
USER_LOGOUT USER_LOGOUT Acionado quando um usuário sai.
USER_MAC_POLICY_LOAD RESOURCE_RESOURCE Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT USER_UNCATEGORIZED Acionado para gravar os dados de gerenciamento do espaço do usuário.
MUDANÇA_DE_ROLE_DE_USUÁRIO USER_CHANGE_PERMISSIONS Acionado quando a função do SELinux de um usuário é alterada.
USER_START LOGIN_DO_USUÁRIO Acionado quando uma sessão do espaço do usuário é iniciada.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Acionado quando uma alteração de configuração do sistema do espaço do usuário é detectada.
VIRT_CONTROL STATUS_ATUALIZAÇÃO Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Acionado para gravar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Acionado para gravar a atribuição de recursos de uma máquina virtual.

E-mail

Campos de registro de e-mail para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos de UDM correspondentes.

Campo de registro Campo UDM
Classe about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
Névoa network.email.mail_id
Proto network.application_protocol
Conexão relay intermediário.nomedohost

Intermediário.ip

Tamanho network.received_bytes
Estatística segurança_resultado.resumo
a network.email.to

Tipos de registro de e-mail para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento do UDM correspondentes.

Tipo de registro de e-mail Tipo de evento do UDM
enviar e-mail EVENTO GENERICO
pickup EMAIL_UNCATEGORIZED
cleanup EVENTO GENERICO
qmgr EMAIL_UNCATEGORIZED
smtp EVENTO GENERICO
local EMAIL_UNCATEGORIZED

A seguir