Recolha registos do Fluentd
Este documento descreve como pode recolher registos do Fluentd configurando o Fluentd e um encaminhador do Google Security Operations. Este documento também apresenta uma lista dos tipos de registos suportados e da versão do Fluentd suportada.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Vista geral
O diagrama de arquitetura de implementação seguinte mostra como o Fluentd é instalado no servidor de encaminhamento e no servidor agregador para enviar registos para o Google Security Operations. Cada implementação do cliente pode diferir desta representação e pode ser mais complexa.
O diagrama de arquitetura mostra os seguintes componentes:
Sistema Linux. O sistema Linux a ser monitorizado. O sistema Linux consiste nos ficheiros a monitorizar e no servidor de encaminhamento do Fluentd.
Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorizado no qual o servidor de encaminhamento do Fluentd está instalado.
Encaminhador do Fluentd. O encaminhador do Fluentd recolhe informações do sistema Microsoft Windows ou Linux e encaminha-as para o agregador do Fluentd.
Agregador Fluentd. O agregador Fluentd recebe registos do encaminhador Fluentd e encaminha os registos para o encaminhador do Google Security Operations.
Agente Bindplane. O agente Bindplane obtém registos do Zscaler ZPA e envia-os para o Google SecOps.
Encaminhador do Google Security Operations. O encaminhador das operações de segurança da Google é um componente de software simples, implementado na rede do cliente, que suporta o syslog. O encaminhador do Google Security Operations encaminha os registos para o Google Security Operations.
Google Security Operations. O Google Security Operations retém e analisa os registos do agregador Fluentd.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento FLUENTD.
Antes de começar
Certifique-se de que o encaminhador Fluentd está instalado nos sistemas Microsoft Windows ou Linux que planeia monitorizar. Para mais informações sobre a instalação do encaminhador Fluentd, consulte o artigo Instalação do Fluentd
Use uma versão do Fluentd suportada pelo analisador do Google Security Operations. O analisador do Google Security Operations suporta a versão 1.0 do Fluentd.
Certifique-se de que o agregador Fluentd está instalado e configurado no servidor Linux central.
Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
Valide os tipos de registos que o analisador do Google Security Operations suporta. A tabela seguinte indica os produtos e os caminhos dos ficheiros de registo que o analisador do Google Security Operations suporta:
Sistema operativo Produto Caminho do ficheiro de registo Microsoft Windows Microsoft Windows Registos de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Configure o encaminhador e o agregador do Fluentd, e o encaminhador do Google Security Operations
Para monitorizar os registos que os sistemas Linux geram, crie um ficheiro
td-agent.confpara especificar a configuração de monitorização de registos para o encaminhador Fluentd. Segue-se um exemplo de um ficheiro de configuração para o encaminhador Fluentd no sistema Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Para monitorizar os registos que os sistemas Microsoft Windows geram, crie um
td-agent.confficheiro para especificar a configuração de monitorização de registos para o encaminhador Fluentd. Segue-se um exemplo de ficheiro de configuração do encaminhador Fluentd no sistema Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Para encaminhar os registos do agregador Fluentd para o encaminhador do Google Security Operations, crie um ficheiro de configuração no seguinte formato:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Configure o encaminhador do Google Security Operations para enviar registos para o Google Security Operations. Para mais informações, consulte o artigo Instalar e configurar o encaminhador no Linux. Segue-se um exemplo de uma configuração de encaminhador do Google Security Operations:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Encaminhe registos para o Google SecOps através do agente Bindplane
- Instale e configure uma máquina virtual Linux.
- Instale e configure o agente Bindplane no Linux para encaminhar registos para o Google SecOps. Para mais informações sobre como instalar e configurar o agente Bindplane, consulte as instruções de instalação e configuração do agente Bindplane.
Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.
Formatos de registo do Fluentd suportados
O analisador Fluentd suporta registos no formato SYSLOG+JSON.
Registos de exemplo do Fluentd suportados
SYSLOG + JSON
"2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"
Referência de mapeamento de campos
Esta secção explica como o analisador aplica padrões grok para sistemas Linux e Microsoft Windows e como mapeia os campos de registo do Fluentd para os campos do modelo de dados unificado (UDM) do Google Security Operations para cada tipo de registo.
Para obter informações sobre o mapeamento de referências de campos comuns, consulte o artigo Campos comuns
Para ver informações de referência sobre caminhos de registo, padrões grok para registos de exemplo, tipos de eventos e campos UDM em sistemas Linux, consulte as secções seguintes:
Para obter informações sobre os eventos do Microsoft Windows suportados e os campos UDM correspondentes, consulte Dados de eventos do Microsoft Windows
Campos comuns
A tabela seguinte apresenta os campos de registo comuns e os respetivos campos da UDM.
| Campo de registo comum | Campo UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname ou principal.hostname |
| inner_message.path | event_source |
Sistema Linux
A tabela seguinte apresenta os caminhos dos registos para o sistema Linux, o padrão grok para registos de exemplo, o tipo de evento e os mapeamentos da UDM:
| Caminho do registo | Exemplo de registo | Padrão Grok | Tipo de evento | Mapeamento do UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message está mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid error_message está mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message está mapeado para security_result.description target.platform está definido como "LINUX" referer_url é mapeado para network.http.referral_url |
| /var/log/apache2/error.log | [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message está mapeado para security_result.description target_ip está mapeado para target.ip referer_url é mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp client_ip é mapeado para principal.ip client_port está mapeado para principal.port connection_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp request_id está mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port está mapeado para principal.port pid está mapeado para target.process.parent_process.pid connection_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id está mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port está mapeado para principal.port pid está mapeado para target.process.parent_process.pid connection_id está mapeado para network.session_id error_message está mapeado para security_result.description file_path está mapeado para target.file.full_path network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip é mapeado para principal.ip userid está mapeado para principal.user.userid O anfitrião está mapeado para principal.hostname O carimbo de data/hora é mapeado para metadata.event_timestamp method é mapeado para network.http.method O recurso está mapeado para principal.resource.name client_protocol está mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host é mapeado para target.hostname
target_port está mapeado para target.port client_ip é mapeado para principal.ip userid está mapeado para principal.user.userid O anfitrião está mapeado para principal.hostname O carimbo de data/hora é mapeado para metadata.event_timestamp method é mapeado para network.http.method O recurso está mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP" |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip é mapeado para principal.ip userid está mapeado para principal.user.userid method é mapeado para network.http.method path está mapeado para target.url result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path está mapeado para target.url referer_url é mapeado para network.http.referral_url network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent está mapeado para network.http.user_agent network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time é mapeado para metadata.timestamp ip está mapeado para target.ip principal_ip é mapeado para principal.ip principal_user_userid está mapeado para principal.user.userid metadata_timestamp está mapeado para timestamp http_method está mapeado para network.http.method resource_name é mapeado para principal.resource.name protocol é mapeado para network.application_protocol = (HTTP) response_code está mapeado para network.http.response_code received_bytes está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 is mapped to "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id está mapeado para principal.process.pid A gravidade é mapeada para security_result.severity (debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL e alert é mapeado para HIGH) target_file_full_path está mapeado para target.file.full_path principal_ip é mapeado para principal.ip target_hostname é mapeado para target.hostname http_method está mapeado para network.http.method resource_name é mapeado para principal.resource.name protocolo está mapeado para "TCP" target_ip está mapeado para target.ip target_port está mapeado para target.port security_description + security_result_description_2 está mapeado para security_result.description pid está mapeado para principal.process.parent_process.pid network.application_protocol está definido como "HTTP" A data/hora é mapeada para {year}/{day}/{month} {time} target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falha na verificação dos comandos necessários | [<message_text>]{security_description} | ATUALIZAÇÃO DO ESTADO | time é mapeado para metadata.timestamp security_description está mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description está mapeado para metadata.description
file_path está mapeado para target.file.full_path security_description está mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | fluentd: File size reduced (inode remained): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time é mapeado para metadata.timestamp metadata_description está mapeado para metadata.description file_path está mapeado para target.file.full_path principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | ATUALIZAÇÃO DO ESTADO | A data/hora é mapeada para "metadata.event_timestamp" principal_hostname está mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" metadata_description está mapeado para "metadata.description" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" |
| /var/log/kern.log | 6 de julho, 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | A data/hora é mapeada para "metadata.event_timestamp" principal_hostname está mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model está mapeado para "principal.asset.hardware.cpu_model" metadata_description está mapeado para "metadata.description" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" cpu_model está mapeado para principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 24 de maio 10:30:42 Ubuntu18 systemd[1]: Started Session 112 of user kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" command_line está mapeado para principal.process.command_line |
| /var/log/syslog.log | Jul 06 10:14:37 Ubuntu18 rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time é mapeado para metadata.collected_timestamp O nome do anfitrião está mapeado para principal.hostname message é mapeado para metadata.description user_id está mapeado para principal.user.userid command_line está mapeado para principal.process.command_line metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | 06 jul 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform está definido como "LINUX" command_line está mapeado para principal.process.command_line |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity local_ip é mapeado para principal.ip target_ip está mapeado para target.ip target_hostname é mapeado para principal.hostname A porta está mapeada para target.port O utilizador está mapeado para principal.user.user_display_name metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | ATUALIZAÇÃO DO ESTADO | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity msg é mapeado para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" message is mapped to (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
ATUALIZAÇÃO DO ESTADO | principal.platform está definido como "LINUX" target_ip está mapeado para target.ip target_port está mapeado para target.port A gravidade é mapeada para security_result.severity A indicação de tempo é mapeada para metadata.timestamp metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text> |
ATUALIZAÇÃO DO ESTADO | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como OpenVPN Access Server principal.platform está definido como Linux target_ip está mapeado para target.ip target_port está mapeado para target.port target_hostname é mapeado para target.hostname intermediary_ip é mapeado para intermediary.ip |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | ATUALIZAÇÃO DO ESTADO | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity message é mapeado para metadata.description user é mapeado para target.hostname ip está mapeado para target.ip A porta está mapeada para target.port metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como OpenVPN Access Server principal.platform está definido como Linux |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | ATUALIZAÇÃO DO ESTADO | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity message é mapeado para security_result.description O resumo está mapeado para security_result.summary user_name está mapeado para principal.user.user_display_name cli está mapeado para principal.process.command_line O estado é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - O acesso à chave de configuração "[filterNames]" através da notação de pontos foi descontinuado e vai ser removido numa versão futura. Em alternativa, use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, em {command_line}\({file_path}:<message_text>\) |
ATUALIZAÇÃO DO ESTADO | command_line está mapeado para "target.process.command_line"
file_path está mapeado para "target.process.file.full_path" A data/hora é mapeada para "metadata.event_timestamp" severity é mapeado para "security_result.severity" O resumo está mapeado para "security_result.summary" security_description está mapeado para "security_result.description" metadata.product_name está definido como "FLUENTD" metadata.vendor_name está definido como "FLUENTD" |
| /var/log/auth.log | Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: Removed session 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | A data/hora é mapeada para "metadata.timestamp" principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.hostname principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application" pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid. security_description está mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, é mapeado para target.user.userid. "principal.platform" está definido como "LINUX" Se a segurança do evento security_description for sessão removida, o event_type é definido como USER_LOGOUT. extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | Jun 27 11:07:17 Ubuntu18 systemd-logind[804]: New session 564 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | A data/hora é mapeada para "metadata.timestamp" principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.hostname principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application" pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid. security_description está mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, é mapeado para target.user.userid. "principal.platform" está definido como "LINUX" "network.application_protocol" está mapeado para "SSH" if(new_session) event_type is set to USER_LOGIN extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | A data/hora é mapeada para "metadata.timestamp" principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.hostname principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application" pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid. security_description está mapeado para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, é mapeado para target.user.userid. principal_ip está mapeado para "principal.ip" principal_port está mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | ATUALIZAÇÃO DO ESTADO | A indicação de tempo é mapeada para metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application está mapeado para principal.application pid está mapeado para principal.process.pid principal_user_userid está mapeado para target.user.userid security_description está mapeado para "security_result.description" principal_process_command_line_1 está mapeado para "principal.process.command_line" principal_process_command_line_2 está mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv está mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" |
| /var/log/auth.log | Jul 4 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | A indicação de tempo é mapeada para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.hostname principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application" pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid. security_description está mapeado para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, é mapeado para target.user.userid. principal_user_attribute_labels_uid_kv está mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 4 de julho 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | A indicação de tempo é mapeada para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.hostname principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application" pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid. security_description está mapeado para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, é mapeado para target.user.userid. principal_user_attribute_labels_uid_kv está mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | Jun 30 11:32:26 Ubuntu18 sshd[29425]: Connection reset by authenticating user root 198.51.100.1 port 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | A indicação de tempo é mapeada para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.hostname principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application" pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid. security_description está mapeado para security_result.description security_summary está mapeado para security_result.summary principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, é mapeado para target.user.userid. target_ip está mapeado para target.ip target_port está mapeado para target.port" principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | ATUALIZAÇÃO DO ESTADO | A data/hora é mapeada para "metadata.timestamp" pid está mapeado para "principal.process.pid" principal_user_attribute_labels_kv está mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv está mapeado para "principal.group.attribute.labels" principal_user_userid está mapeado para "principal.user.userid" principal_group_product_object_id está mapeado para "principal.group.product_object_id" security_description está mapeado para "security_result.description" metadata_description está mapeado para "metadata.description" metadata.product_name" está definido como "FLUENTD" metadata.vendor_name" está definido como "FLUENTD" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | ATUALIZAÇÃO DO ESTADO | metadata.product_name" está definido como "FLUENTD" metadata.vendor_name" está definido como "FLUENTD" user_id está mapeado para principal.user.userid desc está mapeado para metadata.description |
| /var/log/mail.log | 16 de julho 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | ATUALIZAÇÃO DO ESTADO | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho, às 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho, 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | ATUALIZAÇÃO DO ESTADO | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid resource_name é mapeado para target.resource.name metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho, às 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | ATUALIZAÇÃO DO ESTADO | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | July 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
Auditoria
Campos do registo de auditoria para campos da UDM
A tabela seguinte lista os campos do registo do tipo de registo de auditoria e os respetivos campos da UDM.
| Campo de registo | Campo UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dados | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| sair | target.labels.key/value |
| família | network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2; caso contrário, é definido como "UNKNOWN_IP_PROTOCOL" |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| icmptype | network.ip_protocol é definido como "ICMP" |
| id | Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"
If [audit_log_type] == "ADD_GROUP", target.group.product_object_id is set to "%{id}" Caso contrário, target.user.attribute.labels.key/value é definido como id |
| inode | target.resource.product_object_id |
| chave | security_result.detection_fields.key/value |
| lista | security_result.about.labels.key/value |
| modo | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| caminho | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4"
Caso contrário, network.ip_protocol é definido como "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| êxito | Se success=='yes', security_result.summary é definido como "system call was successful" caso contrário, security_result.summary é definido como "systemcall was failed" |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid estiver definido como principal.user.userid
Caso contrário, o uid é definido como target.user.userid |
| vm | target.resource.name |
Tipos de registos de auditoria para o tipo de evento UDM
A tabela seguinte apresenta os tipos de registos de auditoria e os respetivos tipos de eventos da UDM.
| Tipo de registo de auditoria | Tipo de evento UDM | Descrição |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Acionado quando um grupo de utilizadores e espaços é adicionado. |
| ADD_USER | USER_CREATION | Acionado quando é adicionada uma conta de utilizador do espaço do utilizador. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de memória, se estiver ativado). |
| AVC | GENERIC_EVENT | Acionado para registar uma verificação de autorização do SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Acionado quando a configuração do sistema de auditoria é modificada. |
| CRED_ACQ | USER_LOGIN | Acionado quando um utilizador adquire credenciais do espaço do utilizador. |
| CRED_DISP | USER_LOGOUT | Acionado quando um utilizador elimina credenciais do espaço do utilizador. |
| CRED_REFR | USER_LOGIN | Acionado quando um utilizador atualiza as respetivas credenciais do espaço do utilizador. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Acionado para registar o identificador da chave criptográfica usado para fins criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Acionada para registar parâmetros definidos durante o estabelecimento de uma sessão TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionada para gravar o diretório de trabalho atual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Acionado quando um daemon é parado devido a um erro. |
| DAEMON_END | PROCESS_TERMINATION | Acionado quando um daemon é parado com êxito. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd retoma o registo. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd roda os ficheiros de registo de auditoria. |
| DAEMON_START | PROCESS_LAUNCH | Acionado quando o daemon auditd é iniciado. |
| DEL_GROUP | GROUP_DELETION | Acionado quando um grupo do espaço do utilizador é eliminado |
| Pendente | USER_DELETION | Acionado quando um utilizador do espaço do utilizador é eliminado |
| EXECVE | PROCESS_LAUNCH | Acionado para gravar argumentos da chamada do sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Acionado quando um valor booleano do SELinux é alterado. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registar informações sobre um evento IPSec, quando é detetado ou quando a configuração IPSec é alterada. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Acionado quando um ficheiro de política do SELinux é carregado. |
| MAC_STATUS | GENERIC_EVENT | Acionado quando o modo SELinux (aplicação, permissivo, desativado) é alterado. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado quando é adicionada uma etiqueta estática durante a utilização das capacidades de etiquetagem de pacotes do kernel fornecidas pela NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Acionado quando são detetadas modificações da cadeia Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registar informações sobre um processo ao qual é enviado um sinal. |
| CAMINHO | FILE_OPEN/GENERIC_EVENT | Acionado para registar informações do caminho do nome do ficheiro. |
| SELINUX_ERR | GENERIC_EVENT | Acionado quando é detetado um erro interno do SELinux. |
| SERVICE_START | SERVICE_START | Acionado quando um serviço é iniciado. |
| SERVICE_STOP | SERVICE_STOP | Acionado quando um serviço é parado. |
| SYSCALL | GENERIC_EVENT | Acionada para gravar uma chamada do sistema para o kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Acionado quando o sistema é iniciado. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Acionado quando o nível de execução do sistema é alterado. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Acionado quando o sistema é encerrado. |
| USER_ACCT | SETTING_MODIFICATION | Acionado quando uma conta de utilizador do espaço do utilizador é modificada. |
| USER_AUTH | USER_LOGIN | Acionado quando é detetada uma tentativa de autenticação do espaço do utilizador. |
| USER_AVC | USER_UNCATEGORIZED | Acionado quando é gerada uma mensagem AVC de espaço do utilizador. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Acionado quando um atributo da conta de utilizador é modificado. |
| USER_CMD | USER_COMMUNICATION | Acionado quando um comando de shell do espaço do utilizador é executado. |
| USER_END | USER_LOGOUT | Acionado quando uma sessão do espaço do utilizador é terminada. |
| USER_ERR | USER_UNCATEGORIZED | Acionado quando é detetado um erro de estado da conta de utilizador. |
| USER_LOGIN | USER_LOGIN | Acionado quando um utilizador inicia sessão. |
| USER_LOGOUT | USER_LOGOUT | Acionado quando um utilizador termina sessão. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Acionado quando um daemon do espaço do utilizador carrega uma política do SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Acionado para registar dados de gestão do espaço do utilizador. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Acionado quando a função SELinux de um utilizador é alterada. |
| USER_START | USER_LOGIN | Acionado quando uma sessão do espaço do utilizador é iniciada. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Acionado quando é detetada uma alteração da configuração do sistema do espaço do utilizador. |
| VIRT_CONTROL | STATUS_UPDATE | Acionado quando uma máquina virtual é iniciada, pausada ou parada. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Acionado para registar a associação de uma etiqueta a uma máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Acionado para registar a atribuição de recursos de uma máquina virtual. |
Correio
Mapeamento dos campos do registo de correio para os campos da UDM
A tabela seguinte apresenta os campos de registo do tipo de registo de correio e os respetivos campos UDM.
| Campo de registo | Campo UDM |
|---|---|
| Classe | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| De | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Transmissão | intermediary.hostname
intermediary.ip |
| Tamanho | network.received_bytes |
| Estatística | security_result.summary |
| a | network.email.to |
Tipos de registos de correio para o tipo de evento UDM
A tabela seguinte apresenta os tipos de registos de correio e os respetivos tipos de eventos da UDM.
| Tipo de registo de correio | Tipo de evento UDM |
|---|---|
| sendmail | ATUALIZAÇÃO DO ESTADO |
| recolha | EMAIL_UNCATEGORIZED |
| limpeza | ATUALIZAÇÃO DO ESTADO |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | ATUALIZAÇÃO DO ESTADO |
| local | EMAIL_UNCATEGORIZED |
O que se segue?
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.