노드 및 운영체제 (OS)

워크로드 위치

하드웨어
감사 로그 소스

노드 OS
감사 대상 작업

로그인 이벤트

OS SSH 연결을 통한 모든 액세스 시도 및 작업

감사 정보가 포함된 로그 항목의 필드
감사 메타데이터 감사 필드 이름
사용자 또는 서비스 ID ident

"ident": "sshd"

대상

(API를 호출하는 필드 및 값)

 message

예를 들면 다음과 같습니다.

"message": "pam_tty_audit(sshd:session): restored status to 0"

작업

(실행된 작업을 포함하는 필드)

 message

예를 들면 다음과 같습니다.

"message": "pam_tty_audit(sshd:session): restored status to 0"
이벤트 타임스탬프 time

예를 들면 다음과 같습니다.

"time": "2022-11-30T22:53:39.442037+00:00"
작업 소스 host

예를 들면 다음과 같습니다.

"host": "zb-aa-bm01"
결과 message

예를 들면 다음과 같습니다.

"message": "pam_tty_audit(sshd:session): restored status to 0"
기타 필드 해당 없음 해당 없음

예시 로그

{
  "pri": "87",
  "time": "2022-11-30T22:53:39.442037+00:00",
  "host": "zb-aa-bm01",
  "ident": "sshd",
  "pid": "757322",
  "msgid": "-",
  "extradata": "-",
  "message": "pam_tty_audit(sshd:session): restored status to 0",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-dn5jn",
  "_gdch_service_name": "inventory-machine-bm-e2c2a7e1"
}

OS TTY 이벤트

콘솔에 출력을 인쇄하는 모든 명령어

감사 정보가 포함된 로그 항목의 필드
감사 메타데이터 감사 필드 이름
사용자 또는 서비스 ID ident

"ident": "audispd"

대상

(API를 호출하는 필드 및 값)

 message

예를 들면 다음과 같습니다.

"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"

작업

(실행된 작업을 포함하는 필드)

 message

예를 들면 다음과 같습니다.

"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"
이벤트 타임스탬프 time

예를 들면 다음과 같습니다.

"time": "2022-12-20T10:23:35.878924+00:00"
작업 소스 host

예를 들면 다음과 같습니다.

"host": "zk-aa-bm08"
결과 message

예를 들면 다음과 같습니다.

"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"
기타 필드 해당 없음 해당 없음

예시 로그

{
  "pri": "14",
  "time": "2022-12-20T10:23:35.878924+00:00",
  "host": "zk-aa-bm08",
  "ident": "audispd",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-w6fl4",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

ClamAV 이벤트

모든 ClamAV 스캔 이벤트입니다.

감사 정보가 포함된 로그 항목의 필드
감사 메타데이터 감사 필드 이름
사용자 또는 서비스 ID ident

가능한 값은 다음과 같습니다.

  • "ident": "clamav"
  • "ident": "clamonacc"

대상

(API를 호출하는 필드 및 값)

 message

예를 들면 다음과 같습니다.

"message": "No virus found"

작업

(실행된 작업을 포함하는 필드)

 message

예를 들면 다음과 같습니다.

"message": "No virus found"
이벤트 타임스탬프 time

예를 들면 다음과 같습니다.

"time": "2022-12-20T04:01:47.219862+00:00"
작업 소스 host

예를 들면 다음과 같습니다.

"host": "zk-aa-bm09"
결과 message

예를 들면 다음과 같습니다.

"message": "No virus found"
기타 필드 해당 없음 해당 없음

예시 로그

{
  "pri": "86",
  "time": "2022-12-20T04:01:47.219862+00:00",
  "host": "zk-aa-bm09",
  "ident": "clamav",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "No virus found",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-b11f4752"
}

AIDE 이벤트

모든 AIDE 침입 감지 이벤트

감사 정보가 포함된 로그 항목의 필드
감사 메타데이터 감사 필드 이름
사용자 또는 서비스 ID ident

"ident": "aide"

대상

(API를 호출하는 필드 및 값)

 message

예를 들면 다음과 같습니다.

"message": "AIDE check passed."

작업

(실행된 작업을 포함하는 필드)

 message

예를 들면 다음과 같습니다.

"message": "AIDE check passed."
이벤트 타임스탬프 time

예를 들면 다음과 같습니다.

"time": "2022-12-20T10:20:09.428106+00:00"
작업 소스 host

예를 들면 다음과 같습니다.

"host": "zk-aa-bm08"
결과 message

예를 들면 다음과 같습니다.

"message": "AIDE check passed."
기타 필드 해당 없음 해당 없음

예시 로그

{
  "pri": "86",
  "time": "2022-12-20T10:20:09.428106+00:00",
  "host": "zk-aa-bm08",
  "ident": "aide",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "AIDE check passed.",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}