Coletar registros do Fluentd

Compatível com:

Neste documento, descrevemos como coletar registros do Fluentd configurando o Fluentd e um encaminhador do Google Security Operations. Este documento também lista os tipos de registros e a versão do Fluentd compatíveis.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Visão geral

O diagrama de arquitetura de implantação a seguir mostra como o Fluentd é instalado no servidor de encaminhamento e no servidor de agregação para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e ser mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

  • Sistema Linux. O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no servidor encaminhador do Fluentd.

  • Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorado em que o servidor encaminhador do Fluentd está instalado.

  • Encaminhador do Fluentd. O encaminhador do Fluentd coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o agregador do Fluentd.

  • Agregador do Fluentd. O agregador do Fluentd recebe registros do encaminhador do Fluentd e os encaminha para o encaminhador do Google Security Operations.

  • Agente do Bindplane. O agente do Bindplane busca registros do Zscaler ZPA e os envia para o Google SecOps.

  • Encaminhador do Google Security Operations. O encaminhador do Google Security Operations é um componente de software leve implantado na rede do cliente que oferece suporte ao syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.

  • Google Security Operations. O Google Security Operations retém e analisa os registros do agregador Fluentd.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão FLUENTD.

Antes de começar

  • Verifique se o encaminhador do Fluentd está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre a instalação do encaminhador do Fluentd, consulte Instalação do Fluentd.

  • Use uma versão do Fluentd compatível com o analisador do Google Security Operations. O analisador do Google Security Operations é compatível com a versão 1.0 do Fluentd.

  • Verifique se o agregador Fluentd está instalado e configurado no servidor Linux central.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  • Verifique os tipos de registros compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e os caminhos de arquivos de registros compatíveis com o analisador do Google Security Operations:

    Sistema operacional Produto Caminho do arquivo de registro
    Microsoft Windows Microsoft Windows Logs de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Configurar o encaminhador e o agregador do Fluentd e o encaminhador do Google Security Operations

  1. Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Confira um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Linux:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Confira um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Microsoft Windows:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. Para encaminhar os registros do agregador Fluentd para o encaminhador do Google Security Operations, crie um arquivo de configuração no seguinte formato:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de encaminhador do Google Security Operations:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

Encaminhar registros para o Google SecOps usando o agente do Bindplane

  1. Instale e configure uma máquina virtual Linux.
  2. Instale e configure o agente do Bindplane no Linux para encaminhar registros ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.

Formatos de registro do Fluentd compatíveis

O analisador do Fluentd é compatível com registros no formato SYSLOG+JSON.

Registros de amostra do Fluentd compatíveis

  • SYSLOG + JSON

    "2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"
    

Referência de mapeamento de campos

Nesta seção, explicamos como o analisador aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do Fluentd para campos do modelo de dados unificado (UDM, na sigla em inglês) do Google Security Operations para cada tipo de registro.

Para informações sobre o mapeamento de referência de campos comuns, consulte Campos comuns.

Para informações de referência sobre caminhos de registro, padrões grok para registros de exemplo, tipos de eventos e campos da UDM em sistemas Linux, consulte as seções a seguir:

Para informações sobre eventos compatíveis do Microsoft Windows e os campos correspondentes da UDM, consulte Dados de eventos do Microsoft Windows.

Campos comuns

A tabela a seguir lista os campos de registro comuns e os campos correspondentes da UDM.

Campo de registro comum Campo do UDM
collected_time metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname ou principal.hostname
inner_message.path event_source

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos da UDM:

Caminho do registro Exemplo de registro Padrão Grok Tipo de evento Mapeamento da UDM
/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] falha ao fazer a conexão [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

error_message é mapeado para security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description

target.platform está definido como "LINUX"

referer_url é mapeado para network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description

target_ip é mapeado para target.ip

referer_url é mapeado para network.http.referral_url

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sáb 02 de fevereiro 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

log_level é mapeado para security_result.severity

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

error_message é mapeado para security_result.description

file_path é mapeado para target.file.full_path

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host é mapeado para principal.hostname

timestamp é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

o recurso é mapeado para principal.resource.name

client_protocol é mapeado para network.application_protocol

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP target_host é mapeado para target.hostname

target_port é mapeado para target.port

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host é mapeado para principal.hostname

timestamp é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

o recurso é mapeado para principal.resource.name

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

network.application_protocol está definido como "HTTP"

var/log/apache2/novnc-server-access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

O método é mapeado para network.http.method

path é mapeado para target.url

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

network.application_protocol está definido como "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

path é mapeado para target.url

referer_url é mapeado para network.http.referral_url

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent é mapeado para network.http.user_agent

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/nginx/access.log 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

time é mapeado para metadata.timestamp

ip é mapeado para target.ip

principal_ip é mapeado para principal.ip

principal_user_userid é mapeado para principal.user.userid

metadata_timestamp é mapeado para timestamp

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

protocol é mapeado para network.application_protocol = (HTTP)

response_code é mapeado para network.http.response_code

received_bytes é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 é mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

NETWORK_HTTP

thread_id é mapeado para principal.process.pid

severity é mapeado para security_result.severity

(debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH)

target_file_full_path é mapeado para target.file.full_path

principal_ip é mapeado para principal.ip

target_hostname é mapeado para target.hostname

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

protocol é mapeado para "TCP"

target_ip é mapeado para target.ip

target_port é mapeado para target.port

security_description + security_result_description_2 é mapeado para security_result.description

pid é mapeado para principal.process.parent_process.pid

network.application_protocol está definido como "HTTP"

O carimbo de data/hora é mapeado para {year}/{day}/{month} {time}

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

var/log/rkhunter.log [14:10:40] Falha na verificação dos comandos obrigatórios [<message_text>]{security_description} ATUALIZAÇÃO DE STATUS

time é mapeado para metadata.timestamp

security_description é mapeado para security_result.description

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name é definido como "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

security_description é mapeado para security_result.description

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name é definido como "RootKit Hunter"

var/log/rkhunter.log fluentd: tamanho do arquivo reduzido (inode permaneceu): "/var/log/rkhunter.log". (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

time é mapeado para metadata.timestamp

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name é definido como "RootKit Hunter"

/var/log/kern.log 28 de abril 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} ATUALIZAÇÃO DE STATUS

timestamp é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

/var/log/kern.log Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE

timestamp é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

cpu_model é mapeado para principal.asset.hardware.cpu_model

/var/log/syslog.log May 24 10:30:42 Ubuntu18 systemd[1]: Started Session 112 of user kajal. {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} STATUS_UPDATE

collected_time é mapeado para metadata.event_timestamp

hostname é mapeado para principal.hostname

pid é mapeado para principal.process.pid

message é mapeado para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 06 de julho 10:14:37 Ubuntu18 rsyslogd: o userid do rsyslogd foi alterado para 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collected_time é mapeado para metadata.collected_timestamp

hostname é mapeado para principal.hostname

message é mapeado para metadata.description

user_id é mapeado para principal.user.userid

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

/var/log/syslog.log 06 de julho 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time é mapeado para metadata.event_timestamp

hostname é mapeado para principal.hostname

pid é mapeado para principal.process.pid

message é mapeado para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

local_ip é mapeado para principal.ip

target_ip é mapeado para target.ip

target_hostname é mapeado para principal.hostname

port é mapeado para target.port

o usuário é mapeado para principal.user.user_display_name

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

msg é mapeado para security_result.description

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|"

A mensagem é mapeada para (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

ATUALIZAÇÃO DE STATUS

principal.platform é definido como "LINUX"

target_ip é mapeado para target.ip

target_port é mapeado para target.port

severity é mapeado para security_result.severity

timestamp é mapeado para metadata.timestamp

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text>

ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

principal.platform está definido como Linux

target_ip é mapeado para target.ip

target_port é mapeado para target.port

target_hostname é mapeado para target.hostname

intermediary_ip é mapeado para intermediary.ip

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

message é mapeado para metadata.description

user é mapeado para target.hostname

ip é mapeado para target.ip

port é mapeado para target.port

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

principal.platform está definido como Linux

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

A mensagem é mapeada para security_result.description

o resumo é mapeado para security_result.summary

user_name é mapeado para principal.user.user_display_name

cli é mapeado para principal.process.command_line

status é mapeado para principal.user.user_authentication_status

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform é definido como "LINUX"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Use "config.getProperty(key, targetClass)". [{timestamp}]{severity}{summary}\-{security_description}

, em {command_line}\({file_path}:<message_text>\)

ATUALIZAÇÃO DE STATUS command_line é mapeado para "target.process.command_line"

file_path é mapeado para "target.process.file.full_path"

timestamp é mapeado para "metadata.event_timestamp"

severity é mapeado para "security_result.severity"

O resumo é mapeado para "security_result.summary"

security_description é mapeado para "security_result.description"

metadata.product_name está definido como "FLUENTD"

metadata.vendor_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: Removed session 153. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application".

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

Se "security_description" for "Removed session", o "event_type" será definido como "USER_LOGOUT".

extensions.auth.type é definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 27 de junho 11:07:17 Ubuntu18 systemd-logind[804]: New session 564 of user root. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application".

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

"network.application_protocol" é mapeado para "SSH"

if(new_session) event_type é definido como USER_LOGIN

extensions.auth.type é definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido )?{principal_user_userid} de {principal_ip} porta {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application".

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

principal_ip é mapeado para "principal.ip"

principal_port é mapeado para "principal.port"

security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value"

security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para principal.hostname

principal_application é mapeado para principal.application

pid é mapeado para principal.process.pid

principal_user_userid é mapeado para target.user.userid

security_description é mapeado para "security_result.description"

principal_process_command_line_1 é mapeado para "principal.process.command_line"

principal_process_command_line_2 é mapeado para "principal.process.command_line"

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

/var/log/auth.log 4 de julho 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application".

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} para (usuário inválido|usuário){principal_user_userid} USER_LOGOUT

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application".

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jun 30 11:32:26 Ubuntu18 sshd[29425]: Connection reset by authenticating user root 198.51.100.1 port 52518 [preauth] {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application".

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para security_result.description

security_summary é mapeado para security_result.summary

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

target_ip é mapeado para target.ip

target_port é mapeado para target.port"

principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} ATUALIZAÇÃO DE STATUS

O carimbo de data/hora é mapeado para "metadata.timestamp"

pid é mapeado para "principal.process.pid"

principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels"

principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels"

principal_user_userid é mapeado para "principal.user.userid"

principal_group_product_object_id é mapeado para "principal.group.product_object_id"

security_description é mapeado para "security_result.description"

metadata_description é mapeado para "metadata.description"

metadata.product_name" está definido como "FLUENTD"

metadata.vendor_name" está definido como "FLUENTD"

var/log/samba/log.winbindd messaging_dgm_init: bind failed: No space left on device {user_id}: {desc} ATUALIZAÇÃO DE STATUS

metadata.product_name" está definido como "FLUENTD"

metadata.vendor_name" está definido como "FLUENTD"

user_id é mapeado para principal.user.userid

desc é mapeado para metadata.description

/var/log/mail.log 16 de julho, 11h40min56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} ATUALIZAÇÃO DE STATUS

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho, 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> ATUALIZAÇÃO DE STATUS

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

resource_name é mapeado para target.resource.name

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho, 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} ATUALIZAÇÃO DE STATUS

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

Auditoria

Campos de registro de auditoria para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos correspondentes da UDM.

Campo de registro Campo do UDM
acct target.user.user_display_name
addr principal.ip
arch about.labels.key/value
auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
dados about.labels.key/value
devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
família network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, é definido como "UNKNOWN_IP_PROTOCOL"
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
nome do host target.hostname
icmptype network.ip_protocol está definido como "ICMP"
ID Se [audit_log_type] == "ADD_USER", target.user.userid será definido como "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id será definido como "%{id}"

caso contrário, target.user.attribute.labels.key/value será definido como id

inode target.resource.product_object_id
chave security_result.detection_fields.key/value
list security_result.about.labels.key/value
modo target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nome target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid
oses network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
ouid target.user.userid
path target.file.full_path
perm target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol será definido como "IP6IN4"

caso contrário, network.ip_protocol será definido como "UNKNOWN_IP_PROTOCOL"

res security_result.summary
result security_result.summary
saddr security_result.detection_fields.key/value
sauid target.user.attribute.labels.key/value
ses network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
sucesso Se success=='yes', security_result.summary será definido como 'system call was successful' else security_result.summary será definido como 'systemcall was failed'
suid target.user.userid
syscall about.labels.key/value
terminal target.labels.key/value
tty target.labels.key/value
uid Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid for definido como principal.user.userid

else uid is set to target.user.userid

vm target.resource.name

Tipos de registro de auditoria para tipo de evento da UDM

A tabela a seguir lista os tipos de registro de auditoria e os tipos de eventos da UDM correspondentes.

Tipo de registro de auditoria Tipo de evento do UDM Descrição
ADD_GROUP GROUP_CREATION Acionado quando um grupo de espaço do usuário é adicionado.
ADD_USER USER_CREATION Acionado quando uma conta de usuário do espaço do usuário é adicionada.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de núcleo, se ativado).
AVC GENERIC_EVENT Acionada para gravar uma verificação de permissão do SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Acionado quando a configuração do sistema de auditoria é modificada.
CRED_ACQ USER_LOGIN Acionado quando um usuário adquire credenciais de espaço do usuário.
CRED_DISP USER_LOGOUT Acionado quando um usuário descarta credenciais do espaço do usuário.
CRED_REFR USER_LOGIN Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Acionada para registrar o identificador de chave criptográfica usado para fins criptográficos.
CRYPTO_SESSION PROCESS_TERMINATION Acionada para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT PROCESS_TERMINATION Acionada quando um daemon é interrompido devido a um erro.
DAEMON_END PROCESS_TERMINATION Acionado quando um daemon é interrompido com sucesso.
DAEMON_RESUME PROCESS_UNCATEGORIZED Acionado quando o daemon auditd retoma o registro.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Acionada quando o daemon auditd faz a rotação dos arquivos de registro de auditoria.
DAEMON_START PROCESS_LAUNCH Acionado quando o daemon auditd é iniciado.
DEL_GROUP GROUP_DELETION Acionado quando um grupo do espaço do usuário é excluído.
Pendente USER_DELETION Acionado quando um usuário do espaço do usuário é excluído.
EXECVE PROCESS_LAUNCH Acionada para gravar argumentos da chamada de sistema execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Acionado quando um valor booleano do SELinux é alterado.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um evento IPSec quando um é detectado ou quando a configuração do IPSec muda.
MAC_POLICY_LOAD GENERIC_EVENT Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS GENERIC_EVENT Acionada quando o modo do SELinux (restrito, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecido pelo NetLabel.
NETFILTER_CFG GENERIC_EVENT Acionada quando modificações na cadeia Netfilter são detectadas.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionada para registrar informações sobre um processo a que um sinal é enviado.
PATH FILE_OPEN/GENERIC_EVENT Acionada para gravar informações do caminho do nome do arquivo.
SELINUX_ERR GENERIC_EVENT Acionado quando um erro interno do SELinux é detectado.
SERVICE_START SERVICE_START Acionado quando um serviço é iniciado.
SERVICE_STOP SERVICE_STOP Acionado quando um serviço é interrompido.
SYSCALL GENERIC_EVENT Acionada para gravar uma chamada de sistema no kernel.
SYSTEM_BOOT STATUS_STARTUP Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL STATUS_UPDATE Acionada quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Acionada quando o sistema é desligado.
USER_ACCT SETTING_MODIFICATION Acionado quando uma conta de usuário do espaço do usuário é modificada.
USER_AUTH USER_LOGIN Acionado quando uma tentativa de autenticação no espaço do usuário é detectada.
USER_AVC USER_UNCATEGORIZED Acionado quando uma mensagem AVC de espaço do usuário é gerada.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Acionado quando um atributo da conta de usuário é modificado.
USER_CMD USER_COMMUNICATION Acionado quando um comando de shell do espaço do usuário é executado.
USER_END USER_LOGOUT Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR USER_UNCATEGORIZED Acionado quando um erro de estado da conta de usuário é detectado.
USER_LOGIN USER_LOGIN Acionado quando um usuário faz login.
USER_LOGOUT USER_LOGOUT Acionado quando um usuário faz logout.
USER_MAC_POLICY_LOAD RESOURCE_READ Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT USER_UNCATEGORIZED Acionado para registrar dados de gerenciamento do espaço do usuário.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Acionado quando a função do SELinux de um usuário é alterada.
USER_START USER_LOGIN Acionado quando uma sessão do espaço do usuário é iniciada.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Acionada quando uma mudança na configuração do sistema do espaço do usuário é detectada.
VIRT_CONTROL STATUS_UPDATE Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Acionada para registrar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Acionado para registrar a atribuição de recursos de uma máquina virtual.

E-mail

Campos de registro de e-mail para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos correspondentes da UDM.

Campo de registro Campo do UDM
Turma about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
Conexão relay intermediary.hostname

intermediary.ip

Tamanho network.received_bytes
Estatística security_result.summary
a network.email.to

Tipos de registros de e-mail para tipo de evento da UDM

A tabela a seguir lista os tipos de registros de e-mail e os tipos de eventos da UDM correspondentes.

Tipo de registro de e-mail Tipo de evento do UDM
sendmail ATUALIZAÇÃO DE STATUS
pickup EMAIL_UNCATEGORIZED
cleanup ATUALIZAÇÃO DE STATUS
qmgr EMAIL_UNCATEGORIZED
smtp ATUALIZAÇÃO DE STATUS
Local EMAIL_UNCATEGORIZED

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.