收集 OSSEC 日志
本文档介绍了如何通过配置 OSSEC 和 Google Security Operations 转发器来收集 OSSEC 日志。本文档还列出了支持的日志类型和支持的 OSSEC 版本。
如需了解详情,请参阅将数据注入到 Google Security Operations 中。
概览
以下部署架构图显示了如何将 OSSEC 代理和服务器配置为向 Google Security Operations 发送日志。每个客户部署都可能与此表示法不同,并且可能更复杂。
架构图显示了以下组件:
Linux 系统:要监控的 Linux 系统。Linux 系统包含要监控的文件和 OSSEC 代理。
Microsoft Windows 系统。要监控的 Microsoft Windows 系统(其中安装了 OSSEC 代理)。
OSSEC 代理。OSSEC 代理会从 Microsoft Windows 或 Linux 系统收集信息,并将信息转发到 OSSEC 服务器。
OSSEC 服务器。OSSEC 服务器会监控并接收来自 OSSEC 代理的信息,然后分析日志并将日志转发到 Google Security Operations 转发器。
Google Security Operations 转发器。Google Security Operations 转发器是一个部署在客户网络中的轻量级软件组件,用于支持 syslog。Google Security Operations 转发器会将日志转发到 Google Security Operations。
Google Security Operations。Google Security Operations 会保留和分析来自 OSSEC 服务器的日志。
提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 OSSEC
提取标签的解析器。
准备工作
确保在您计划监控的 Microsoft Windows 或 Linux 系统上安装了 OSSEC 代理。如需详细了解如何安装 OSSEC 代理,请参阅 OSSEC 安装
使用 Google Security Operations 解析器支持的 OSSEC 版本。Google Security Operations 解析器支持 OSSEC 3.6.0 版。
确保在中央 Linux 服务器上安装并配置 OSSEC 服务器。
验证 Google Security Operations 解析器支持的日志类型。下表列出了 Google Security Operations 解析器支持的产品和日志文件路径:
操作系统 产品 日志文件路径 Microsoft Windows Microsoft Windows 事件日志 Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux - OSSEC 服务器 OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/rundeck.api.log Linux Rundeck /var/log/rundeck/service.log Linux 桑巴 /var/log/samba/log.winbindd Linux Linux /var/log/mail.log 确保部署架构中的所有系统都按照 UTC 时区进行配置。
配置 OSSEC 代理和服务器以及 Google Security Operations 转发器
如需配置 OSSEC 代理和服务器以及 Google Security Operations 转发器,请执行以下操作:
如需监控 Linux 系统生成的日志,请创建一个
ossec.conf
文件来指定代理的日志监控配置。以下是该代理在 Linux 系统上的配置文件示例:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>
如需监控 Microsoft Windows 系统生成的日志,请创建一个
ossec.conf
文件来指定代理的日志监控配置。以下是该代理在 Microsoft Windows 系统上的配置文件示例:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>
如需使用 syslog 协议将日志从 OSSEC 服务器转发到 Google Security Operations,请按以下格式创建
syslog.conf
OSSEC 服务器配置文件:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
配置 Google Security Operations 转发器,以将日志发送到 Google Security Operations。如需了解详情,请参阅在 Linux 上安装和配置转发器。 以下是 Google Security Operations 转发器配置的示例:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
字段映射参考文档
本部分介绍 Google Security Operations 解析器如何针对 Linux 和 Microsoft Windows 系统应用 grok 模式,以及如何将各个日志类型的 OSSEC 日志字段映射到 Google Security Operations 统一数据模型 (UDM) 字段。
如需了解通用字段的映射引用,请参阅通用字段
如需了解 Linux 系统上的日志路径、Grok 模式(例如日志、事件类型和 UDM 字段)的参考信息,请参阅以下部分:
如需了解支持的 Microsoft Windows 事件和相应的 UDM 字段,请参阅 Microsoft Windows 事件数据
常用字段
下表列出了通用日志字段及其对应的 UDM 字段。
通用日志字段 | UDM 字段 |
---|---|
collected_time | metadata.collected_timestamp |
应用 | principal.application |
log | metadata.description |
IP | target.ip 或 principal.ip |
主机名 | target.hostname 或 principal.hostname |
Linux 系统
下表列出了 Linux 系统的日志路径,以及日志模式(例如日志)、事件类型和 UDM 映射的 grok 模式:
日志路径 | 日志示例 | 格罗克模式 | 事件类型 | UDM 映射 |
---|---|---|---|---|
/var/log/apache2/error.log | [星期四 4 月 28 日 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] 连接失败 | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp 映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 映射到 principal.port error_message 映射到 security_result.description network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/error.log | [2022 年 4 月 28 日星期四 16:13:01.283342] [core:notice] [pid 18394:tid 140188660751296] 连接失败 | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp 映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid error_message 映射到 security_result.description network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/error.log | [2022 年 4 月 28 日星期四 16:13:01.283342] [core:notice] [pid 18394:tid 140188660751296] AH00094:命令行:“/usr/sbin/apache2” | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” timestamp 映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 映射到 principal.port error_message 映射到 security_result.description target.platform 设置为“LINUX” Referer_url 映射到 network.http.referral_url |
/var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [客户端 {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url}) | NETWORK_HTTP | timestamp 映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 映射到 principal.port error_message 映射到 security_result.description target_ip 映射到 target.ip Referer_url 映射到 network.http.referral_url network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/error.log | [2019 年 2 月 2 日星期六 00:30:55] 新连接:[connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp 映射到 metadata.event_timestamp client_ip 映射到 principal.ip client_port 映射到 principal.port connection_id 映射到 network.session_id network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/error.log | [2019 年 2 月 2 日星期六 00:30:55] 新请求:[connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp 映射到 metadata.event_timestamp request_id 映射到 security_result.detection_fields.(key/value) client_ip 映射到 principal.ip client_port 映射到 principal.port pid 映射到 target.process.parent_process.pid connection_id 映射到 network.session_id network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/error.log | [2019 年 2 月 2 日星期六 00:30:55] [信息] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] [pid 8] core.c(4739):[client 192.0.2.1:us Aicon does not contain2] | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[客户端 {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | 时间戳映射到 metadata.event_timestamp log_level 映射到 security_result.severity request_id 映射到 security_result.detection_fields.(key/value) client_ip 映射到 principal.ip client_port 映射到 principal.port pid 映射到 target.process.parent_process.pid connection_id 映射到 network.session_id error_message 映射到 security_result.description file_path 会映射到 target.file.full_path network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip 映射到 principal.ip userid 映射到 principal.user.userid 主机映射到 principal.hostname timestamp 映射到 metadata.event_timestamp 方法映射到 network.http.method 资源映射到 principal.resource.name client_protocol 映射到 network.application_protocol result_status 映射到 network.http.response_code object_size 映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host 映射到 target.hostname target_port 映射到 target.port client_ip 映射到 principal.ip userid 映射到 principal.user.userid 主机映射到 principal.hostname timestamp 映射到 metadata.event_timestamp 方法映射到 network.http.method 资源映射到 principal.resource.name result_status 映射到 network.http.response_code object_size 映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” network.application_protocol 设置为“HTTP” |
/var/log/apache2/access.log | “http://192.0.2.1/test/first.html”-> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | 路径映射到 target.url Referer_url 映射到 network.http.referral_url network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
/var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent 映射到 network.http.user_agent network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | 时间映射到 metadata.timestamp IP 映射到 target.ip principal_ip 映射到 principal.ip principal_user_userid 映射到 principal.user.userid metadata_timestamp 映射到时间戳 http_method 映射到 network.http.method resource_name 已映射到 principal.resource.name 协议映射到 network.application_protocol = (HTTP) response_code 映射到 network.http.response_code received_bytes 映射到 network.sent_bytes Referer_url 映射到 network.http.referral_url user_agent 映射到 network.http.user_agent target.platform 设置为“LINUX” metadata.vendor_name 设置为“NGINX” metadata.product_name 设置为“NGINX” network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” |
var/log/nginx/error.log | 2022/01/29 13:51:48 [错误] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" 失败(2:没有这样的文件或目录),客户端:192.0.2.1,服务器:\",request: \"GET /nginx19 \".localhost.1 \" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 已映射到“{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}”?),request:"{http_method} /(<optional_field>{resource_name}?){protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}])::{target_port} 失败 ({security_description})", "\*{cid}{security_description}", “{security_description}” |
NETWORK_HTTP | thread_id 映射到 principal.process.pid 严重级别会映射到 security_result.severity (调试映射到 UNKNOWN_SEVERITY,信息映射到 INFORMATIONAL,注意映射到 LOW,警告映射到 MEDIUM,错误映射到 ERROR,关键映射到 CRITical,警报映射到 HIGH) target_file_full_path 会映射到 target.file.full_path principal_ip 映射到 principal.ip target_hostname 映射到 target.hostname http_method 映射到 network.http.method resource_name 已映射到 principal.resource.name 协议映射到“TCP” target_ip 映射到 target.ip target_port 映射到 target.port security_description + security_result_description_2 映射到 security_result.description, pid 映射到 principal.process.parent_process.pid network.application_protocol 设置为“HTTP” 时间戳映射到 %{year}/%{day}/%{month} %{time} target.platform 设置为“LINUX” metadata.vendor_name 设置为“NGINX” metadata.product_name 设置为“NGINX” network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” |
var/log/rkhunter.log | [14:10:40] 所需命令检查失败 | [<message_text>]{security_description} | STATUS_UPDATE | 时间映射到 metadata.timestamp securtiy_description 映射到 security_result.description principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter” |
var/log/rkhunter.log | [14:09:52] 正在检查文件“/dev/.oz/.nap/rkit/terror”[未找到] | [<message_text>] {security_description} {文件路径}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description 映射到 metadata.description file_path 会映射到 target.file.full_path security_description 映射到 security_result.description principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter” |
var/log/rkhunter.log | ossec:文件大小缩小了(保留了 inode):“/var/log/rkhunter.log”。 | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | 时间映射到 metadata.timestamp metadata_description 映射到 metadata.description file_path 会映射到 target.file.full_path principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter” |
/var/log/kern.log | 7 月 7 日 18:48:32 zynvpnsvr 内核:[2081387.006876] IPv4:192.0.2.1 的 martian 源 1.20.32.39,在 dev as0t5 上 | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?] <message_text>?{target_ip}\from{principal_ip}(开发者 {target_user_userid}) | NETWORK_CONNECTION | 时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” target_ip 映射到“target.ip” principal_ip 映射到“principal.ip” target_user_userid 被映射到“target.user.userid” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
/var/log/kern.log | 10 月 25 日 10:10:51 localhost 内核:[31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operations="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}:<message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | 时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” metadata_description 映射到“metadata.description” file_path 映射到“principal.process.file” pid 映射到“principal.process.pid” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
/var/log/kern.log | 4 月 28 日 12:41:35 localhost 内核:[5079.912215] ctnetlink v0.93:向 nfnetlink 注册。 | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | 时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” metadata_description 映射到“metadata.description” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
/var/log/kern.log | 4 月 28 日 11:17:01 localhost 内核:[ 0.030139] smpboot:CPU0:Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz(系列:0x6,型号:0x55,步进:0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | 时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” principal_asset_hardware_cpu_model 映射到“principal.asset.hardware.cpu_model” metadata_description 映射到“metadata.description” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” cpu_model 映射到 principal.asset.hardware.cpu_model |
/var/log/syslog.log | 1 月 29 日 13:51:46 redvt env[29194]: [29/Jan/2022:13:51:46] 需要 GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid http_method 映射到 network.http.method response_code 映射到 network.http.response_code 资源映射到 target.url target_ip 映射到 target.ip received_bytes 映射到 network.received_bytes metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” Command_line 映射到 principal.process.command_line |
/var/log/syslog.log | 7 月 26 日 23:13:03 zynossec ossec-authd[1096]:2021/07/26 23:13:03 ossec-authd: INFO:已收到 3.4.5.6 的新代理 (zsecmgr0000-0719) 请求 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname}) 来源:{target_ip} | STATUS_UPDATE | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid log_level 映射到 security_result.severity 消息映射到 metadata.description Command_line 映射到 principal.process.command_line metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” target_ip 映射到 target.ip |
/var/log/syslog.log | 7 月 26 日 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | 从 {target_ip} {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description} | STATUS_UPDATE | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid log_level 映射到 security_result.severity description 映射到 security_result.description Command_line 映射到 principal.process.command_line metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
/var/log/syslog.log | 1 月 29 日 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: 无效代理名称 zsecmgr0000-0719(重复) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid log_level 映射到 security_result.severity 说明 + 原因映射到 security_result.description Command_line 映射到 principal.process.command_line metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
/var/log/syslog.log | 5 月 2 日 06:25:01 localhost apachectl[64942]: AH00558: apache2:无法使用 ::1 可靠地确定服务器的完全限定域名。全局设置“ServerName”指令以禁止显示此消息 | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid 消息映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” Command_line 映射到 principal.process.command_line |
/var/log/syslog.log | 5 月 2 日 00:00:45 localhost fstrim[64727]: /: 6.7 GiB(7205015552 字节)已修剪 | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid 消息映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” Command_line 映射到 principal.process.command_line |
/var/log/syslog.log | 5 月 3 日 10:14:37 localhost rsyslogd:rsyslogd 的 userid 更改为 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collection_time 映射到 metadata.collected_timestamp 主机名映射到 principal.hostname 消息映射到 metadata.description user_id 映射到 principal.user.userid Command_line 映射到 principal.process.command_line metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
/var/log/syslog.log | 5 月 5 日 10:36:48 localhost systemd[1]:正在启动系统日志记录服务... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collection_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid 消息映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” Command_line 映射到 principal.process.command_line |
/var/log/mail.log | 3 月 16 日 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname 映射到 target.hostname application 映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/mail.log | 4 月 7 日 13:44:01 prod 后缀/pickup[22580]:AE4271627DB:uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 映射到 target.hostname application 映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/mail.log | 4 月 7 日 13:44:01 prod 后缀/cleanup[23434]:AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname 映射到 target.hostname application 映射到 target.application pid 映射到 target.process.pid resource_name 映射到 target.resource.name metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/mail.log | 4 月 7 日 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1(队列有效) | {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 映射到 target.hostname application 映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/mail.log | 4 月 7 日 13:44:01 prod 后缀/smtp[23436]:连接到 gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25:网络无法访问 | {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} | STATUS_UPDATE | target_hostname 映射到 target.hostname application 映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/mail.log | 4 月 7 日 13:44:02 prod 后缀/local[23439]:E62521627DC: to=<root@server.hostname.01>, Relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent(已传送到邮箱) | {timestamp} {target_hostname} {application}[{pid}]:<message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 映射到 target.hostname application 映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - 通过点表示法访问配置键“[filterNames]”已被弃用,并将在未来的版本中移除。请改用“config.getProperty(key, targetClass)”。 | [{timestamp}]{severity}{summary}\-{security_description}
、位于 {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | 将命令行工具映射到“target.process.command_line” file_path 会映射到“target.process.file.full_path” 时间戳映射到“metadata.event_timestamp” 严重级别会映射到“security_result.severity” summary 映射到“security_result.summary” security_description 映射到了“security_result.description” metadata.product_name 设置为“OSSEC” metadata.vendor_name 设置为“OSSEC” |
/var/log/auth.log | 4 月 27 日 21:03:03 Ubuntu18 systemd-logind[836]:移除了会话 3080。 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | timestamp 映射到“metadata.timestamp” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_hostname 会映射到“target.hostname”,否则会映射到“principal.hostname”。 如果 metadata.event_type 为 USER_LOGOUT,则 principal_application 会映射到“target.application”,否则会映射到“principal.application”。 如果 metadata.event_type 为 USER_LOGOUT,则 pid 会映射到“target.process.pid”,否则会映射到“principal.process.pid”。 security_description 映射到了“security_result.description” network_session_id 映射到“network.session_id” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_user_userid 将映射到“principal.user.userid”,否则映射到“target.user.userid”。 “principal.platform”映射到“LINUX” if(removed_session) event_type 设置为 USER_LOGOUT extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/auth.log | 4 月 28 日 11:33:24 Ubuntu18 systemd-logind[836]:用户 root 的新会话 3205。 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | timestamp 映射到“metadata.timestamp” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_hostname 会映射到“target.hostname”,否则会映射到“principal.hostname”。 如果 metadata.event_type 为 USER_LOGOUT,则 principal_application 会映射到“target.application”,否则会映射到“principal.application”。 如果 metadata.event_type 为 USER_LOGOUT,则 pid 会映射到“target.process.pid”,否则会映射到“principal.process.pid”。 security_description 映射到了“security_result.description” network_session_id 映射到“network.session_id” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_user_userid 将映射到“principal.user.userid”,否则映射到“target.user.userid”。 “principal.platform”映射到“LINUX” “network.application_protocol”映射到“SSH” if(new_session) event_type 设置为 USER_LOGIN extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/auth.log | 4 月 28 日 11:35:31 Ubuntu18 sshd[23573]:接受 10.0.1.1 端口 40503 ssh2 的 root 密码 | 针对(无效用户)?{principal_user_userid} 从 {principal_ip} 端口 {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA2v6:{security_result} {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} | USER_LOGIN | timestamp 映射到“metadata.timestamp” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_hostname 会映射到“target.hostname”,否则会映射到“principal.hostname”。 如果 metadata.event_type 为 USER_LOGOUT,则 principal_application 会映射到“target.application”,否则会映射到“principal.application”。 如果 metadata.event_type 为 USER_LOGOUT,则 pid 会映射到“target.process.pid”,否则会映射到“principal.process.pid”。 security_description 映射到了“security_result.description” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_user_userid 将映射到“principal.user.userid”,否则映射到“target.user.userid”。 principal_ip 映射到“principal.ip” principal_port 映射到“principal.port” security_result_detection_fields_ssh_kv 映射到“security_result.detection_fields.key/value” security_result_detection_fields_kv 映射到“security_result.detection_fields.key/value” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/auth.log | 4 月 28 日 11:50:20 Ubuntu18 sshd[24145]:pam_unix(sshd:auth): 身份验证失败; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<{user_ip_text>)?r | USER_LOGIN | timestamp 映射到“metadata.timestamp” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_hostname 会映射到“target.hostname”,否则会映射到“principal.hostname”。 如果 metadata.event_type 为 USER_LOGOUT,则 principal_application 会映射到“target.application”,否则会映射到“principal.application”。 如果 metadata.event_type 为 USER_LOGOUT,则 pid 会映射到“target.process.pid”,否则会映射到“principal.process.pid”。 security_description 映射到了“security_result.description” principal_user_uuserid 映射到“principal.user.attribute.labels” principal_user_attribute_labels_euid_kv 映射到“principal.user.attribute.labels.key/value” principal_ruser_userid 映射到“principal.user.attribute.labels.key/value” target_ip 映射到“target.ip” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_user_userid 将映射到“principal.user.userid”,否则映射到“target.user.userid” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/auth.log | 2 月 24 日 00:13:02exact32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; command=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_utm_v_attribute_parent_process_ principal_ | STATUS_UPDATE | timestamp 映射到 metadata.timestamp principal_hostname 映射到 principal.hostname principal_application 映射到 principal.application pid 映射到 principal.process.pid principal_user_userid 映射到 target.user.userid security_description 映射到了“security_result.description” principal_process_command_line_1 映射到“principal.process.command_line” principal_process_command_line_2 映射到“principal.process.command_line” principal_user_attribute_labels_uid_kv 映射到“principal.user.attribute.labels.key/value” “principal.platform”设置为“LINUX” |
/var/log/auth.log | 4 月 26 日 07:39:01 Ubuntu18 CRON[2126]:pam_unix(cron:session):由 (uid=0) 为用户根目录打开的会话 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp 映射到 metadata.timestamp 如果 metadata.event_type 为 USER_LOGOUT,则 principal_hostname 会映射到“target.hostname”,否则会映射到“principal.hostname”。 如果 metadata.event_type 为 USER_LOGOUT,则 principal_application 会映射到“target.application”,否则会映射到“principal.application”。 如果 metadata.event_type 为 USER_LOGOUT,则 pid 会映射到“target.process.pid”,否则会映射到“principal.process.pid”。 security_description 映射到了“security_result.description” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_user_userid 将映射到“principal.user.userid”,否则映射到“target.user.userid”。 principal_user_attribute_labels_uid_kv 映射到“principal.user.attribute.labels.key/value” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/auth.log | 4 月 26 日 07:39:01 Ubuntu18 CRON[2126]:pam_unix(cron:session):用户 root 会话已关闭 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | timestamp 映射到 metadata.timestamp 如果 metadata.event_type 为 USER_LOGOUT,则 principal_hostname 会映射到“target.hostname”,否则会映射到“principal.hostname”。 如果 metadata.event_type 为 USER_LOGOUT,则 principal_application 会映射到“target.application”,否则会映射到“principal.application”。 如果 metadata.event_type 为 USER_LOGOUT,则 pid 会映射到“target.process.pid”,否则会映射到“principal.process.pid”。 security_description 映射到了“security_result.description” 如果 metadata.event_type 为 USER_LOGOUT,则 principal_user_userid 将映射到“principal.user.userid”,否则映射到“target.user.userid”。 principal_user_attribute_labels_uid_kv 映射到 principal.user.attribute.labels.key/value “principal.platform”设置为“LINUX” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
/var/log/auth.log | 5 月 24 日 12:56:31 ip-10-50-2-176 sshd[119931]:超时,客户端无响应。 | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp 映射到 metadata.timestamp principal_hostname 映射到 principal.hostname principal_application 映射到 principal.application pid 映射到 principal.process.pid security_result_description 会映射到 security_result_description “principal.platform”设置为“LINUX” metadata.vendor_name 设置为 OSSEC metadata.product_name 设置为 OSSEC |
var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: 清除缓存并使用版本号 2 重新创建 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | timestamp 映射到“metadata.timestamp” pid 映射到“principal.process.pid” principal_user_attribute_labels_kv 映射到“principal.user.attribute.labels” principal_group_attribute_labels_kv 映射到“principal.group.attribute.labels” principal_user_userid 映射到“principal.user.userid” principal_group_product_object_id 映射到“principal.group.product_object_id” security_description 映射到了“security_result.description” metadata_description 映射到“metadata.description” metadata.product_name 设置为“OSSEC” “metadata.vendor_name”设置为“OSSEC” |
var/log/samba/log.winbindd | Messaging_dgm_init:绑定失败:设备上已没有剩余空间 | {user_id}:{desc} | STATUS_UPDATE | metadata.product_name 设置为“OSSEC” metadata.vendor_name”设置为“OSSEC” user_id 映射到 principal.user.userid desc 映射到 metadata.description |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp 映射到 metadata.timestamp log_level 映射到 security_result.severity local_ip 映射到 principal.ip target_ip 映射到 target.ip target_hostname 映射到 principal.hostname 端口映射到 target.port 用户映射到 principal.user.user_display_name metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 库版本:OpenSSL 1.1.1 2018 年 9 月 11 日,LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp 映射到 metadata.timestamp log_level 映射到 security_result.severity msg 映射到 security_result.description metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
消息映射到 <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | timestamp 映射到 metadata.timestamp log_level 映射到 security_result.severity 消息映射到 security_result.description metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#1, GCM-1, GCM-1, GCM-1, GCM 1, GCM-GVE [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL] | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp 映射到 metadata.timestamp log_level 映射到 security_result.severity 消息映射到 security_result.description 用户映射到 principal.user.user_display_name IP 映射到 principal.ip metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp 映射到 metadata.timestamp log_level 映射到 security_result.severity 消息映射到 security_result.description summary 映射到 security_result.summary user_name 映射到 principal.user.user_display_name cli 映射到 principal.process.command_line 状态会映射到 principal.user.user_authentication_status metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
/var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=N new="/success/success/success/utmp" | type={audit_log_type} |
当前工作表审核日志“EventType 映射”标签页中的 EventType | Audit_log_type 映射到了 metadata.product_event_type metadata_ingested_timestamp 映射到“metadata.event_timestamp” metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.plateform 设置为“LINUX” 数据映射到当前工作表 audit.log 标签页中的键值对-> UDM 映射 |
var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO:正在启动 syscheck 扫描 | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity metadata_description 映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO:监控命令的完整输出(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity Command_line 映射到 target.process.command_line metadata_description 映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210):错误:队列“/queue/alerts/ar”无法访问:“连接遭拒”。 | {timestamp} {application}(({pid}))<optional_field>{severity}: 队列“{resource}”<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity metadata_description 映射到 metadata.description 资源映射到 target.resource.name metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity file_path 会映射到 target.file.full_path metadata_description 映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>忽略<message_text>:'{file_path}' | SCAN_PROCESS | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity file_path 会映射到 target.file.full_path metadata.vendor_name 设置为 OSSEC metadata.product_name 设置为 OSSEC |
var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO:读取身份验证密钥文件。 | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity metadata_description 映射到 metadata.description metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103):错误:由于 [(13)-(Permission denied)],无法打开文件“/queue/rids/004”。 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity file_path 会映射到 target.file.full_path metadata_description 映射到 metadata.description error_code 映射到 security_result.summary error_metadata_description 映射到 security_result.summary metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206):错误:无法绑定端口“1514” | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity metadata_description 映射到 metadata.description 端口映射到 target.port metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: 读取规则文件:“ms-se_rules.xml” | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity metadata_description 映射到 metadata.description file_path 会映射到 target.file.full_path metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(忽略|忽略文件)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | 应用映射到 target.application pid 映射到 target.process.pid 严重级别会映射到 security_result.severity file_path 会映射到 target.file.full_path metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” |
ntpd 进程 | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | 协议映射到 network.ip_protocol pid 映射到 principal.process.pid metadata.description 设置为程序名称:%{process_name} metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
syscheck | 文件“/usr/bin/fwts”已修改 | 文件“{file_path}”{说明} | FILE_MODIFICATION | description 映射到 metadata.description file_path 会映射到 target.file.full_path metadata.vendor_name 设置为“OSSEC” metadata.product_name 设置为“OSSEC” principal.platform 设置为“LINUX” |
审核
将审核日志字段转换为 UDM 字段
下表列出了审核日志类型的日志字段及其对应的 UDM 字段。
日志字段 | UDM 字段 |
---|---|
帐号 | target.user.user_display_name |
地址 | principal.ip |
架构 | about.labels.key/value |
Auid | target.user.userid |
cgroup | principal.process.file.full_path |
cmd | target.process.command_line |
通信 | target.application |
CWD | target.file.full_path |
数据 | about.labels.key/value |
Devmajor | about.labels.key/value |
Devminor | about.labels.key/value |
egid | target.group.product_object_id |
euid | target.user.userid |
exe | target.process.file.full_path |
退出 | target.labels.key/value |
系列 | network.ip_protocol 设置为“IP6IN4”,如果“ip_protocol” == 2,否则设置为 UNKNOWN_IP_PROTOCOL |
文件类型 | target.file.mime_type |
fsgid | target.group.product_object_id |
fsuid | target.user.userid |
gid | target.group.product_object_id |
主机名 | target.hostname |
icmptype | network.ip_protocol 设置为“ICMP” |
id | 如果 [audit_log_type] == "ADD_USER",则 target.user.userid 会设置为“%{id}”
如果 [audit_log_type] == "ADD_GROUP",则 target.group.product_object_id 会设置为“%{id}” else target.user.attribute.labels.key/value 设置为 ID |
inode | target.resource.product_object_id |
键 | security_result.detection_fields.key/value |
列表 | security_result.about.labels.key/value |
模式 | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
名称 | target.file.full_path |
新磁盘 | target.resource.name |
新内存 | target.resource.attribute.labels.key/value |
new-vcpu | target.resource.attribute.labels.key/value |
new-net | pincipal.mac |
new_gid | target.group.product_object_id |
oauid | target.user.userid |
ocomm | target.process.command_line |
欧普型 | target.process.pid |
Oses | network.session_id |
ouid | target.user.userid |
obj_gid | target.group.product_object_id |
obj_role | target.user.attribute.role.name |
obj_uid | target.user.userid |
obj_user | target.user.user_display_name |
ogid | target.group.product_object_id |
ouid | target.user.userid |
路径 | target.file.full_path |
永久性 | target.asset.attribute.permissions.name |
pid | target.process.pid |
ppid | target.parent_process.pid |
proto | 如果 [ip_protocol] == 2,则将 network.ip_protocol 设置为“IP6IN4”
否则 network.ip_protocol 设置为“UNKNOWN_IP_PROTOCOL” |
资源 | security_result.summary |
结果 | security_result.summary |
saddr | security_result.detection_fields.key/value |
Sauid | target.user.attribute.labels.key/value |
ses | network.session_id |
sgid | target.group.product_object_id |
签名 | security_result.detection_fields.key/value |
subj_user | target.user.user_display_name |
成功 | 如果 success=='yes',则 securtiy_result.summary 会设置为“system call was successfully”(系统调用成功)
else securtiy_result.summary 设置为“systemcall was failed” |
Suid | target.user.userid |
系统调用 | about.labels.key/value |
终端 | target.labels.key/value |
TTY | target.labels.key/value |
uid | 如果 [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DELDuid_USER, USER_id] 中的 [audit_log_type] 已设为 else uid 设置为 target.user.userid |
vm | target.resource.name |
审核日志类型转换为 UDM 事件类型
下表列出了审核日志类型及其对应的 UDM 事件类型。
审核日志类型 | UDM 事件类型 | 说明 |
---|---|---|
ADD_GROUP | GROUP_CREATION | 在添加用户空间组时触发。 |
ADD_USER | USER_CREATION | 在添加用户空间用户帐号时触发。 |
ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | 当进程异常结束(以及可能引发核心转储的信号,如果已启用)结束时触发。 |
AVC | GENERIC_EVENT | 用于记录 SELinux 权限检查。 |
CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | 修改审核系统配置时触发。 |
CRED_ACQ | USER_LOGIN | 当用户获取用户空间凭据时触发。 |
CRED_DISP | USER_LOGOUT | 当用户处理用户空间凭据时触发。 |
CRED_REFR | USER_LOGIN | 当用户刷新其用户空间凭据时触发。 |
CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | 用于记录用于加密目的的加密密钥标识符。 |
CRYPTO_SESSION | PROCESS_TERMINATION | 用于记录在 TLS 会话建立期间设置的参数。 |
CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 触发以记录当前工作目录。 |
DAEMON_ABORT | PROCESS_TERMINATION | 当守护程序因出现错误而停止时触发。 |
DAEMON_END | PROCESS_TERMINATION | 当守护程序成功停止时触发。 |
DAEMON_RESUME | PROCESS_UNCATEGORIZED | 当 Auditd 守护程序恢复日志记录时触发。 |
DAEMON_ROTATE | PROCESS_UNCATEGORIZED | 当 Auditd 守护程序轮替审核日志文件时即会触发。 |
DAEMON_START | PROCESS_LAUNCH | 当 Auditd 守护程序启动时触发。 |
DEL_GROUP | GROUP_DELETION | 当用户空间群组被删除时触发 |
待处理 | USER_DELETION | 当用户空间用户被删除时触发 |
EXECVE | PROCESS_LAUNCH | 触发以记录 execve(2) 系统调用的参数。 |
MAC_CONFIG_CHANGE | GENERIC_EVENT | 在 SELinux 布尔值发生更改时触发。 |
MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 在检测到 IPSec 事件或 IPSec 配置发生更改时触发,以记录有关 IPSec 事件的信息。 |
MAC_POLICY_LOAD | GENERIC_EVENT | 加载 SELinux 政策文件时触发。 |
MAC_STATUS | GENERIC_EVENT | 在 SELinux 模式(强制、宽容、关闭)更改时触发。 |
MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 当使用 NetLabel 提供的内核的数据包标签功能添加了静态标签时,即会触发该事件。 |
NETFILTER_CFG | GENERIC_EVENT | 在检测到 Netfilter 链修改时触发。 |
OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 用于记录接收信号的进程的相关信息。 |
路径 | FILE_OPEN/GENERIC_EVENT | 触发以记录文件名路径信息。 |
SELINUX_ERR | GENERIC_EVENT | 当检测到内部 SELinux 错误时触发。 |
SERVICE_START | SERVICE_START | 在服务启动时触发。 |
SERVICE_STOP | SERVICE_STOP | 在服务停止时触发。 |
SYSCALL | GENERIC_EVENT | 触发以录制对内核的系统调用。 |
SYSTEM_BOOT | STATUS_STARTUP | 系统启动时触发。 |
SYSTEM_RUNLEVEL | STATUS_UPDATE | 当系统的运行级别发生更改时触发。 |
SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | 当系统关闭时触发。 |
USER_ACCT | SETTING_MODIFICATION | 当用户空间用户帐号被修改时触发。 |
USER_AUTH | USER_LOGIN | 当检测到用户空间身份验证尝试时触发。 |
USER_AVC | USER_UNCATEGORIZED | 在生成用户空间 AVC 消息时触发。 |
USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | 修改用户帐号属性时触发。 |
USER_CMD | USER_COMMUNICATION | 执行用户空间 shell 命令时触发。 |
USER_END | USER_LOGOUT | 当用户空间会话终止时触发。 |
USER_ERR | USER_UNCATEGORIZED | 当检测到用户帐号状态错误时触发。 |
USER_LOGIN | USER_LOGIN | 当用户登录时触发。 |
USER_LOGOUT | USER_LOGOUT | 当用户退出时触发。 |
USER_MAC_POLICY_LOAD | RESOURCE_READ | 当用户空间守护程序加载 SELinux 政策时触发。 |
USER_MGMT | USER_UNCATEGORIZED | 用于记录用户空间管理数据。 |
USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | 当用户的 SELinux 角色发生更改时触发。 |
USER_START | USER_LOGIN | 在用户空间会话启动时触发。 |
USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | 当检测到用户空间系统配置发生更改时触发。 |
VIRT_CONTROL | STATUS_UPDATE | 在虚拟机启动、暂停或停止时触发。 |
VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | 触发以记录标签与虚拟机的绑定。 |
VIRT_RESOURCE | USER_RESOURCE_ACCESS | 触发以记录虚拟机的资源分配。 |
邮件
通过邮件将日志字段发送到 UDM 字段
下表列出了邮件日志类型的日志字段及其对应的 UDM 字段。
日志字段 | UDM 字段 |
---|---|
类 | about.labels.key/value |
Ctladdr | principal.user.user_display_name |
从 | network.email.from |
Msgid | network.email.mail_id |
Proto | network.application_protocol |
中继 | intermediary.hostname
intermediary.ip |
尺寸 | network.received_bytes |
统计信息 | security_result.summary |
至 | network.email.to |
通过邮件日志类型更改为 UDM 事件类型
下表列出了邮件日志类型及其对应的 UDM 事件类型。
邮件日志类型 | UDM 事件类型 |
---|---|
sendmail | GENERIC_EVENT |
上车点 | EMAIL_UNCATEGORIZED |
清理 | GENERIC_EVENT |
Qmgr | EMAIL_UNCATEGORIZED |
smtp | GENERIC_EVENT |
本地 | EMAIL_UNCATEGORIZED |