Recolha registos do OSSEC
Este documento descreve como pode recolher registos do OSSEC configurando o OSSEC e um encaminhador do Google Security Operations. Este documento também lista os tipos de registos suportados e a versão do OSSEC suportada.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Vista geral
O diagrama de arquitetura de implementação seguinte mostra como os agentes e os servidores do OSSEC são configurados para enviar registos para o Google Security Operations. Cada implementação do cliente pode ser diferente desta representação e pode ser mais complexa.
O diagrama de arquitetura mostra os seguintes componentes:
Sistema Linux. O sistema Linux a ser monitorizado. O sistema Linux consiste nos ficheiros a monitorizar e no agente OSSEC.
Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorizado no qual o agente OSSEC está instalado.
Agente OSSEC. O agente OSSEC recolhe informações do sistema Microsoft Windows ou Linux e encaminha as informações para o servidor OSSEC.
Servidor OSSEC. O servidor OSSEC monitoriza e recebe informações dos agentes OSSEC, analisa os registos e encaminha-os para o encaminhador do Google Security Operations.
Agente do Bindplane: o agente do Bindplane obtém registos do osquery e envia-os para o Google SecOps.
Encaminhador do Google Security Operations. O encaminhador das operações de segurança da Google é um componente de software simples, implementado na rede do cliente, que suporta o syslog. O encaminhador do Google Security Operations encaminha os registos para o Google Security Operations.
Google Security Operations. O Google Security Operations retém e analisa os registos do servidor OSSEC.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento OSSEC.
Antes de começar
Certifique-se de que o agente OSSEC está instalado nos sistemas Microsoft Windows ou Linux que planeia monitorizar. Para mais informações sobre a instalação do agente OSSEC, consulte o artigo Instalação do OSSEC
Use uma versão do OSSEC compatível com o analisador do Google Security Operations. O analisador do Google Security Operations suporta a versão 3.6.0 do OSSEC.
Certifique-se de que o servidor OSSEC está instalado e configurado no servidor Linux central.
Valide os tipos de registos que o analisador do Google Security Operations suporta. A tabela seguinte indica os produtos e os caminhos dos ficheiros de registo que o analisador do Google Security Operations suporta:
Sistema operativo Produto Caminho do ficheiro de registo Microsoft Windows Microsoft Windows Registos de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux – Servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
Configure o agente e o servidor OSSEC, e o encaminhador do Google Security Operations
Para configurar o agente e o servidor OSSEC, e o encaminhador do Google Security Operations, faça o seguinte:
Para monitorizar os registos que os sistemas Linux geram, crie um ficheiro
ossec.confpara especificar a configuração de monitorização de registos do agente. Segue-se um exemplo de um ficheiro de configuração para o agente no sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para monitorizar os registos que os sistemas Microsoft Windows geram, crie um
ossec.confficheiro para especificar a configuração de monitorização de registos do agente. Segue-se um exemplo de um ficheiro de configuração para o agente no sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para encaminhar os registos do servidor OSSEC para o Google Security Operations através do protocolo syslog, crie o ficheiro de configuração do servidor OSSEC no seguinte formato:
syslog.conf.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configure o encaminhador do Google Security Operations para enviar registos para o Google Security Operations. Para mais informações, consulte o artigo Instalar e configurar o encaminhador no Linux. Segue-se um exemplo de uma configuração de encaminhador do Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Encaminhe registos para o Google SecOps através do agente Bindplane
- Instale e configure uma máquina virtual Linux.
- Instale e configure o agente Bindplane no Linux para encaminhar registos para o Google SecOps. Para mais informações sobre como instalar e configurar o agente Bindplane, consulte as instruções de instalação e configuração do agente Bindplane.
Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.
Formatos de registo OSSEC suportados
O analisador OSSEC suporta registos nos formatos SYSLOG+JSON, SYSLOG e SYSLOG+KV.
Registos de exemplo do OSSEC suportados
SYSLOG+JSON:
2022 Jan 30 23: 13: 05 (wintest) 198.51.100.0->EventChannel { "win": { "system": { "providerName": "Microsoft-Windows-PowerShell", "providerGuid": "{A0C1853B-5C40-ABCD-1234-3CF1C58F985A}", "eventID": "4104", "version": "1", "level": "5", "task": "2", "opcode": "15", "keywords": "0x0", "systemTime": "2021-07-29T12:57:03.579362300Z", "eventRecordID": "150518739", "processID": "16520", "threadID": "6036", "channel": "Microsoft-Windows-PowerShell/Operational", "computer": "WINTEST.cbn.local", "severityValue": "VERBOSE", "message": "\\"Creating Scriptblock text (1 of 1):\\"" }, "eventdata": { "messageNumber": "1", "messageTotal": "1", "scriptBlockText": "$global:?", "scriptBlockId": "8d4870bf-4032-5432-1234-51ae1e6a05d5" } } }SYSLOG:
2024/04/02 15:31:58 ossec-testrule: INFO: Reading local decoder file.SYSLOG+KV:
2022 Jan 30 12:57:02 (ossectest) 198.51.100.0->/var/log/audit/audit.log type=LOGIN msg=audit(1627367436.123:8618732): pid=18281 uid=0 old-auid=1234967321 auid=996 tty=(none) old-ses=1234967321 ses=102952 res=1
Referência de mapeamento de campos
Esta secção explica como o analisador do Google Security Operations aplica padrões grok para sistemas Linux e Microsoft Windows e como mapeia os campos de registo do OSSEC para os campos do modelo de dados unificado (UDM) do Google Security Operations para cada tipo de registo.
Para obter informações sobre o mapeamento de referências de campos comuns, consulte o artigo Campos comuns
Para ver informações de referência sobre caminhos de registo, padrões grok para registos de exemplo, tipos de eventos e campos UDM em sistemas Linux, consulte as secções seguintes:
Para obter informações sobre os eventos do Microsoft Windows suportados e os campos UDM correspondentes, consulte Dados de eventos do Microsoft Windows
Campos comuns
A tabela seguinte apresenta os campos de registo comuns e os respetivos campos da UDM.
| Campo de registo comum | Campo UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| aplicação | principal.application |
| registo | metadata.description |
| ip | target.ip ou principal.ip |
| hostname | target.hostname ou principal.hostname |
Sistema Linux
A tabela seguinte apresenta os caminhos dos registos para o sistema Linux, o padrão grok para registos de exemplo, o tipo de evento e os mapeamentos da UDM:
| Caminho do registo | Exemplo de registo | Padrão Grok | Tipo de evento | Mapeamento do UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message está mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid error_message está mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message está mapeado para security_result.description target.platform está definido como "LINUX" referer_url é mapeado para network.http.referral_url |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | O carimbo de data/hora é mapeado para metadata.event_timestamp log_module está mapeado para target.resource.name log_level é mapeado para security_result.severity pid está mapeado para target.process.parent_process.pid tid está mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message está mapeado para security_result.description target_ip está mapeado para target.ip referer_url é mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp client_ip é mapeado para principal.ip client_port está mapeado para principal.port connection_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp request_id está mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port está mapeado para principal.port pid está mapeado para target.process.parent_process.pid connection_id está mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | O carimbo de data/hora é mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id está mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port está mapeado para principal.port pid está mapeado para target.process.parent_process.pid connection_id está mapeado para network.session_id error_message está mapeado para security_result.description file_path está mapeado para target.file.full_path network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip é mapeado para principal.ip userid está mapeado para principal.user.userid O anfitrião está mapeado para principal.hostname O carimbo de data/hora é mapeado para metadata.event_timestamp method é mapeado para network.http.method O recurso está mapeado para principal.resource.name client_protocol está mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host é mapeado para target.hostname target_port está mapeado para target.port client_ip é mapeado para principal.ip userid está mapeado para principal.user.userid O anfitrião está mapeado para principal.hostname O carimbo de data/hora é mapeado para metadata.event_timestamp method é mapeado para network.http.method O recurso está mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" network.application_protocol está definido como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path está mapeado para target.url referer_url é mapeado para network.http.referral_url network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent está mapeado para network.http.user_agent network.direction está definido como "OUTBOUND" target.platform está definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform está definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time é mapeado para metadata.timestamp ip está mapeado para target.ip principal_ip é mapeado para principal.ip principal_user_userid está mapeado para principal.user.userid metadata_timestamp está mapeado para timestamp http_method está mapeado para network.http.method resource_name é mapeado para principal.resource.name protocol é mapeado para network.application_protocol = (HTTP) response_code está mapeado para network.http.response_code received_bytes está mapeado para network.sent_bytes referer_url é mapeado para network.http.referral_url user_agent está mapeado para network.http.user_agent target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 is mapped to "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id está mapeado para principal.process.pid A gravidade é mapeada para security_result.severity (debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL e alert é mapeado para HIGH) target_file_full_path está mapeado para target.file.full_path principal_ip é mapeado para principal.ip target_hostname é mapeado para target.hostname http_method está mapeado para network.http.method resource_name é mapeado para principal.resource.name protocolo está mapeado para "TCP" target_ip está mapeado para target.ip target_port está mapeado para target.port security_description + security_result_description_2 está mapeado para security_result.description pid está mapeado para principal.process.parent_process.pid network.application_protocol está definido como "HTTP" A data/hora é mapeada para %{year}/%{day}/%{month} %{time} target.platform está definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definido como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falha na verificação dos comandos necessários | [<message_text>]{security_description} | STATUS_UPDATE | time é mapeado para metadata.timestamp securtiy_description está mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description está mapeado para metadata.description file_path está mapeado para target.file.full_path security_description está mapeado para security_result.description principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | ossec: File size reduced (inode remained): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time é mapeado para metadata.timestamp metadata_description está mapeado para metadata.description file_path está mapeado para target.file.full_path principal.platform está definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| /var/log/kern.log | Jul 7 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | A data/hora é mapeada para "metadata.event_timestamp" principal_hostname está mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" target_ip está mapeado para "target.ip" principal_ip está mapeado para "principal.ip" target_user_userid está mapeado para "target.user.userid" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/kern.log | Oct 25 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | A data/hora é mapeada para "metadata.event_timestamp" principal_hostname está mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" metadata_description está mapeado para "metadata.description" file_path está mapeado para "principal.process.file" pid está mapeado para "principal.process.pid" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | A data/hora é mapeada para "metadata.event_timestamp" principal_hostname está mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" metadata_description está mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/kern.log | 28 de abril, 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | A data/hora é mapeada para "metadata.event_timestamp" principal_hostname está mapeado para "principal.hostname" metadata_product_event_type está mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model está mapeado para "principal.asset.hardware.cpu_model" metadata_description está mapeado para "metadata.description" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" cpu_model está mapeado para principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 jan 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid http_method está mapeado para network.http.method response_code está mapeado para network.http.response_code O recurso está mapeado para target.url target_ip está mapeado para target.ip received_bytes está mapeado para network.received_bytes metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line está mapeado para principal.process.command_line |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid log_level é mapeado para security_result.severity message é mapeado para metadata.description command_line está mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" target_ip está mapeado para target.ip |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid log_level é mapeado para security_result.severity A descrição é mapeada para security_result.description command_line está mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid log_level é mapeado para security_result.severity description + reason é mapeado para security_result.description command_line está mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | 2 de maio 06:25:01 localhost apachectl[64942]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using ::1. Defina a diretiva "ServerName" globalmente para suprimir esta mensagem | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line está mapeado para principal.process.command_line |
| /var/log/syslog.log | May 2 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 bytes) trimmed | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line está mapeado para principal.process.command_line |
| /var/log/syslog.log | 3 de maio 10:14:37 localhost rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time é mapeado para metadata.collected_timestamp O nome do anfitrião está mapeado para principal.hostname message é mapeado para metadata.description user_id está mapeado para principal.user.userid command_line está mapeado para principal.process.command_line metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| /var/log/syslog.log | 5 de maio 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time é mapeado para metadata.event_timestamp O nome do anfitrião está mapeado para principal.hostname pid está mapeado para principal.process.pid message é mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" command_line está mapeado para principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid resource_name é mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname é mapeado para target.hostname A aplicação está mapeada para target.application pid está mapeado para target.process.pid metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - O acesso à chave de configuração "[filterNames]" através da notação de pontos foi descontinuado e vai ser removido numa versão futura. Em alternativa, use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, em {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line está mapeado para "target.process.command_line" file_path está mapeado para "target.process.file.full_path" A data/hora é mapeada para "metadata.event_timestamp" severity é mapeado para "security_result.severity" O resumo está mapeado para "security_result.summary" security_description está mapeado para "security_result.description" metadata.product_name está definido como "OSSEC" metadata.vendor_name está definido como "OSSEC" |
| /var/log/auth.log | Apr 27 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | A data/hora é mapeada para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname é mapeado para "target.hostname". Caso contrário, é mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application é mapeado para "target.application". Caso contrário, é mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, pid é mapeado para "target.process.pid". Caso contrário, é mapeado para "principal.process.pid". security_description está mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid". "principal.platform" está mapeado para "LINUX" if(removed_session) event_type is set to USER_LOGOUT extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | 28 de abril, 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | A data/hora é mapeada para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname é mapeado para "target.hostname". Caso contrário, é mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application é mapeado para "target.application". Caso contrário, é mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, pid é mapeado para "target.process.pid". Caso contrário, é mapeado para "principal.process.pid". security_description está mapeado para "security_result.description" network_session_id está mapeado para "network.session_id" Se metadata.event_type for USER_LOGOUT, principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid". "principal.platform" está mapeado para "LINUX" "network.application_protocol" está mapeado para "SSH" if(new_session) event_type is set to USER_LOGIN extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | A data/hora é mapeada para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname é mapeado para "target.hostname". Caso contrário, é mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application é mapeado para "target.application". Caso contrário, é mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, pid é mapeado para "target.process.pid". Caso contrário, é mapeado para "principal.process.pid". security_description está mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid". principal_ip está mapeado para "principal.ip" principal_port está mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | A data/hora é mapeada para "metadata.timestamp" Se metadata.event_type for USER_LOGOUT, principal_hostname é mapeado para "target.hostname". Caso contrário, é mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application é mapeado para "target.application". Caso contrário, é mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, pid é mapeado para "target.process.pid". Caso contrário, é mapeado para "principal.process.pid". security_description está mapeado para "security_result.description" principal_user_uuserid está mapeado para "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv está mapeado para "principal.user.attribute.labels.key/value" principal_ruser_userid está mapeado para "principal.user.attribute.labels.key/value" target_ip está mapeado para "target.ip" Se metadata.event_type for USER_LOGOUT, principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | Feb 24 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | A indicação de tempo é mapeada para metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application está mapeado para principal.application pid está mapeado para principal.process.pid principal_user_userid está mapeado para target.user.userid security_description está mapeado para "security_result.description" principal_process_command_line_1 está mapeado para "principal.process.command_line" principal_process_command_line_2 está mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv está mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | A indicação de tempo é mapeada para metadata.timestamp Se metadata.event_type for USER_LOGOUT, principal_hostname é mapeado para "target.hostname". Caso contrário, é mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application é mapeado para "target.application". Caso contrário, é mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, pid é mapeado para "target.process.pid". Caso contrário, é mapeado para "principal.process.pid". security_description está mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv está mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX" "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | A indicação de tempo é mapeada para metadata.timestamp Se metadata.event_type for USER_LOGOUT, principal_hostname é mapeado para "target.hostname". Caso contrário, é mapeado para "principal.hostname". Se metadata.event_type for USER_LOGOUT, principal_application é mapeado para "target.application". Caso contrário, é mapeado para "principal.application". Se metadata.event_type for USER_LOGOUT, pid é mapeado para "target.process.pid". Caso contrário, é mapeado para "principal.process.pid". security_description está mapeado para "security_result.description" Se metadata.event_type for USER_LOGOUT, principal_user_userid é mapeado para "principal.user.userid". Caso contrário, é mapeado para "target.user.userid". principal_user_attribute_labels_uid_kv está mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| /var/log/auth.log | May 24 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | A indicação de tempo é mapeada para metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application está mapeado para principal.application pid está mapeado para principal.process.pid security_result_description é mapeado para security_result_description "principal.platform" está definido como "LINUX" metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | A data/hora é mapeada para "metadata.timestamp" pid está mapeado para "principal.process.pid" principal_user_attribute_labels_kv está mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv está mapeado para "principal.group.attribute.labels" principal_user_userid está mapeado para "principal.user.userid" principal_group_product_object_id está mapeado para "principal.group.product_object_id" security_description está mapeado para "security_result.description" metadata_description está mapeado para "metadata.description" metadata.product_name está definido como "OSSEC" "metadata.vendor_name" está definido como "OSSEC" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name está definido como "OSSEC" metadata.vendor_name" está definido como "OSSEC" user_id está mapeado para principal.user.userid desc está mapeado para metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity local_ip é mapeado para principal.ip target_ip está mapeado para target.ip target_hostname é mapeado para principal.hostname A porta está mapeada para target.port O utilizador está mapeado para principal.user.user_display_name metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity msg é mapeado para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity message é mapeado para security_result.description metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity message é mapeado para security_result.description O utilizador está mapeado para principal.user.user_display_name O IP está mapeado para principal.ip metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | A indicação de tempo é mapeada para metadata.timestamp log_level é mapeado para security_result.severity message é mapeado para security_result.description O resumo está mapeado para security_result.summary user_name está mapeado para principal.user.user_display_name cli está mapeado para principal.process.command_line O estado é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "OpenVPN Access Server" principal.platform está definido como "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType no separador de mapeamento EventType do registo de auditoria da folha atual | audit_log_type está mapeado para metadata.product_event_type metadata_ingested_timestamp está mapeado para "metadata.event_timestamp" metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.plateform está definido como "LINUX" Os dados são mapeados para o par de chave-valor -> mapeamento UDM no separador audit.log da folha atual |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description está mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity command_line está mapeado para target.process.command_line metadata_description está mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description está mapeado para metadata.description O recurso está mapeado para target.resource.name metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path está mapeado para target.file.full_path metadata_description está mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path está mapeado para target.file.full_path metadata.vendor_name está definido como OSSEC metadata.product_name está definido como OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description está mapeado para metadata.description metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path está mapeado para target.file.full_path metadata_description está mapeado para metadata.description error_code está mapeado para security_result.summary error_metadata_description está mapeado para security_result.summary metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description está mapeado para metadata.description A porta está mapeada para target.port metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity metadata_description está mapeado para metadata.description file_path está mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | A aplicação está mapeada para target.application pid está mapeado para target.process.pid A gravidade é mapeada para security_result.severity file_path está mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" |
| Processo ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocol é mapeado para network.ip_protocol pid está mapeado para principal.process.pid metadata.description está definido como Nome do programa: %{process_name} metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
| syscheck | Ficheiro "/usr/bin/fwts" modificado | O ficheiro "{file_path}" {description} | FILE_MODIFICATION | A descrição está mapeada para metadata.description file_path está mapeado para target.file.full_path metadata.vendor_name está definido como "OSSEC" metadata.product_name está definido como "OSSEC" principal.platform está definido como "LINUX" |
Auditoria
Campos do registo de auditoria para campos da UDM
A tabela seguinte lista os campos do registo do tipo de registo de auditoria e os respetivos campos da UDM.
| Campo de registo | Campo UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dados | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| sair | target.labels.key/value |
| família | network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2; caso contrário, é definido como "UNKNOWN_IP_PROTOCOL" |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| icmptype | network.ip_protocol é definido como "ICMP" |
| id | Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"
If [audit_log_type] == "ADD_GROUP", target.group.product_object_id is set to "%{id}" Caso contrário, target.user.attribute.labels.key/value é definido como id |
| inode | target.resource.product_object_id |
| chave | security_result.detection_fields.key/value |
| lista | security_result.about.labels.key/value |
| modo | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| caminho | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4"
Caso contrário, network.ip_protocol é definido como "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| êxito | Se success=='yes', securtiy_result.summary é definido como "system call was successful" (a chamada do sistema foi bem-sucedida)
Caso contrário, securtiy_result.summary é definido como "systemcall was failed" |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid estiver definido como principal.user.userid
Caso contrário, o uid é definido como target.user.userid |
| vm | target.resource.name |
Tipos de registos de auditoria para o tipo de evento UDM
A tabela seguinte apresenta os tipos de registos de auditoria e os respetivos tipos de eventos da UDM.
| Tipo de registo de auditoria | Tipo de evento UDM | Descrição |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Acionado quando um grupo de utilizadores e espaços é adicionado. |
| ADD_USER | USER_CREATION | Acionado quando é adicionada uma conta de utilizador do espaço do utilizador. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de memória, se estiver ativado). |
| AVC | GENERIC_EVENT | Acionado para registar uma verificação de autorização do SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Acionado quando a configuração do sistema de auditoria é modificada. |
| CRED_ACQ | USER_LOGIN | Acionado quando um utilizador adquire credenciais do espaço do utilizador. |
| CRED_DISP | USER_LOGOUT | Acionado quando um utilizador elimina credenciais do espaço do utilizador. |
| CRED_REFR | USER_LOGIN | Acionado quando um utilizador atualiza as respetivas credenciais do espaço do utilizador. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Acionado para registar o identificador da chave criptográfica usado para fins criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Acionada para registar parâmetros definidos durante o estabelecimento de uma sessão TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionada para gravar o diretório de trabalho atual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Acionado quando um daemon é parado devido a um erro. |
| DAEMON_END | PROCESS_TERMINATION | Acionado quando um daemon é parado com êxito. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd retoma o registo. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd roda os ficheiros de registo de auditoria. |
| DAEMON_START | PROCESS_LAUNCH | Acionado quando o daemon auditd é iniciado. |
| DEL_GROUP | GROUP_DELETION | Acionado quando um grupo do espaço do utilizador é eliminado |
| Pendente | USER_DELETION | Acionado quando um utilizador do espaço do utilizador é eliminado |
| EXECVE | PROCESS_LAUNCH | Acionado para gravar argumentos da chamada do sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Acionado quando um valor booleano do SELinux é alterado. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registar informações sobre um evento IPSec, quando é detetado ou quando a configuração IPSec é alterada. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Acionado quando um ficheiro de política do SELinux é carregado. |
| MAC_STATUS | GENERIC_EVENT | Acionado quando o modo SELinux (aplicação, permissivo, desativado) é alterado. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado quando é adicionada uma etiqueta estática durante a utilização das capacidades de etiquetagem de pacotes do kernel fornecidas pela NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Acionado quando são detetadas modificações da cadeia Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Acionado para registar informações sobre um processo ao qual é enviado um sinal. |
| CAMINHO | FILE_OPEN/GENERIC_EVENT | Acionado para registar informações do caminho do nome do ficheiro. |
| SELINUX_ERR | GENERIC_EVENT | Acionado quando é detetado um erro interno do SELinux. |
| SERVICE_START | SERVICE_START | Acionado quando um serviço é iniciado. |
| SERVICE_STOP | SERVICE_STOP | Acionado quando um serviço é parado. |
| SYSCALL | GENERIC_EVENT | Acionada para gravar uma chamada do sistema para o kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Acionado quando o sistema é iniciado. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Acionado quando o nível de execução do sistema é alterado. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Acionado quando o sistema é encerrado. |
| USER_ACCT | SETTING_MODIFICATION | Acionado quando uma conta de utilizador do espaço do utilizador é modificada. |
| USER_AUTH | USER_LOGIN | Acionado quando é detetada uma tentativa de autenticação do espaço do utilizador. |
| USER_AVC | USER_UNCATEGORIZED | Acionado quando é gerada uma mensagem AVC de espaço do utilizador. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Acionado quando um atributo da conta de utilizador é modificado. |
| USER_CMD | USER_COMMUNICATION | Acionado quando um comando de shell do espaço do utilizador é executado. |
| USER_END | USER_LOGOUT | Acionado quando uma sessão do espaço do utilizador é terminada. |
| USER_ERR | USER_UNCATEGORIZED | Acionado quando é detetado um erro de estado da conta de utilizador. |
| USER_LOGIN | USER_LOGIN | Acionado quando um utilizador inicia sessão. |
| USER_LOGOUT | USER_LOGOUT | Acionado quando um utilizador termina sessão. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Acionado quando um daemon do espaço do utilizador carrega uma política do SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Acionado para registar dados de gestão do espaço do utilizador. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Acionado quando a função SELinux de um utilizador é alterada. |
| USER_START | USER_LOGIN | Acionado quando uma sessão do espaço do utilizador é iniciada. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Acionado quando é detetada uma alteração da configuração do sistema do espaço do utilizador. |
| VIRT_CONTROL | STATUS_UPDATE | Acionado quando uma máquina virtual é iniciada, pausada ou parada. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Acionado para registar a associação de uma etiqueta a uma máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Acionado para registar a atribuição de recursos de uma máquina virtual. |
Correio
Mapeamento dos campos do registo de correio para os campos da UDM
A tabela seguinte apresenta os campos de registo do tipo de registo de correio e os respetivos campos UDM.
| Campo de registo | Campo UDM |
|---|---|
| Classe | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| De | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Transmissão | intermediary.hostname
intermediary.ip |
| Tamanho | network.received_bytes |
| Estatística | security_result.summary |
| a | network.email.to |
Tipos de registos de correio para o tipo de evento UDM
A tabela seguinte apresenta os tipos de registos de correio e os respetivos tipos de eventos da UDM.
| Tipo de registo de correio | Tipo de evento UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| recolha | EMAIL_UNCATEGORIZED |
| limpeza | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| local | EMAIL_UNCATEGORIZED |
O que se segue?
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.