Se usó la API de Cloud Translation para traducir esta página.

Nodo y sistema operativo (SO)

Ubicación de la carga de trabajo

Hardware

Fuente del registro de auditoría

SO del nodo

Operaciones auditadas

Eventos de acceso
Eventos de teletipo del sistema operativo (TTY del SO)
Eventos de antivirus Clam (ClamAV)
Eventos de Advanced Intrusion Detection Environment (AIDE)

Todos los intentos de acceso y las acciones a través de conexiones SSH del SO

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad del usuario o del servicio	`ident`	`"ident": "sshd"`
Target (Campos y valores que llaman a la API)	`message`	Por ejemplo: `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo: `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Marca de tiempo del evento	`time`	Por ejemplo: `"time": "2022-11-30T22:53:39.442037+00:00"`
Fuente de la acción	`host`	Por ejemplo: `"host": "zb-aa-bm01"`
Resultado	`message`	Por ejemplo: `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Otros campos	No aplicable	No aplicable

Ejemplo de registro

{
  "pri": "87",
  "time": "2022-11-30T22:53:39.442037+00:00",
  "host": "zb-aa-bm01",
  "ident": "sshd",
  "pid": "757322",
  "msgid": "-",
  "extradata": "-",
  "message": "pam_tty_audit(sshd:session): restored status to 0",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-dn5jn",
  "_gdch_service_name": "inventory-machine-bm-e2c2a7e1"
}

Eventos de TTY del SO

Todos los comandos imprimen resultados en la consola.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad del usuario o del servicio	`ident`	`"ident": "audispd"`
Target (Campos y valores que llaman a la API)	`message`	Por ejemplo: `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo: `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Marca de tiempo del evento	`time`	Por ejemplo: `"time": "2022-12-20T10:23:35.878924+00:00"`
Fuente de la acción	`host`	Por ejemplo: `"host": "zk-aa-bm08"`
Resultado	`message`	Por ejemplo: `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Otros campos	No aplicable	No aplicable

Ejemplo de registro

{
  "pri": "14",
  "time": "2022-12-20T10:23:35.878924+00:00",
  "host": "zk-aa-bm08",
  "ident": "audispd",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-w6fl4",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

Eventos de ClamAV

Todos los eventos de análisis de ClamAV.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad del usuario o del servicio	`ident`	Valores posibles: `"ident": "clamav"` `"ident": "clamonacc"`
Target (Campos y valores que llaman a la API)	`message`	Por ejemplo: `"message": "No virus found"`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo: `"message": "No virus found"`
Marca de tiempo del evento	`time`	Por ejemplo: `"time": "2022-12-20T04:01:47.219862+00:00"`
Fuente de la acción	`host`	Por ejemplo: `"host": "zk-aa-bm09"`
Resultado	`message`	Por ejemplo: `"message": "No virus found"`
Otros campos	No aplicable	No aplicable

Ejemplo de registro

{
  "pri": "86",
  "time": "2022-12-20T04:01:47.219862+00:00",
  "host": "zk-aa-bm09",
  "ident": "clamav",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "No virus found",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-b11f4752"
}

Eventos de AIDE

Son todos los eventos de detección de intrusiones de AIDE.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad del usuario o del servicio	`ident`	`"ident": "aide"`
Target (Campos y valores que llaman a la API)	`message`	Por ejemplo: `"message": "AIDE check passed."`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo: `"message": "AIDE check passed."`
Marca de tiempo del evento	`time`	Por ejemplo: `"time": "2022-12-20T10:20:09.428106+00:00"`
Fuente de la acción	`host`	Por ejemplo: `"host": "zk-aa-bm08"`
Resultado	`message`	Por ejemplo: `"message": "AIDE check passed."`
Otros campos	No aplicable	No aplicable

Ejemplo de registro

{
  "pri": "86",
  "time": "2022-12-20T10:20:09.428106+00:00",
  "host": "zk-aa-bm08",
  "ident": "aide",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "AIDE check passed.",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

Nodo y sistema operativo (SO) Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Eventos de acceso

Eventos de TTY del SO

Eventos de ClamAV

Eventos de AIDE

Nodo y sistema operativo (SO)