Esta página se ha traducido con Cloud Translation API.

Nodo y sistema operativo (SO)

Ubicación de la carga de trabajo

Hardware

Origen del registro de auditoría

Sistema operativo de nodo

Operaciones auditadas

Eventos de inicio de sesión
Eventos de teletipo del sistema operativo (OS TTY)
Eventos del antivirus Clam (ClamAV)
Eventos de Advanced Intrusion Detection Environment (AIDE)

Todos los intentos de acceso y las acciones a través de conexiones SSH del SO.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad de usuario o de servicio	`ident`	`"ident": "sshd"`
Objetivo (Campos y valores que llaman a la API)	`message`	Por ejemplo, `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo, `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Marca de tiempo de evento	`time`	Por ejemplo, `"time": "2022-11-30T22:53:39.442037+00:00"`
Fuente de la acción	`host`	Por ejemplo, `"host": "zb-aa-bm01"`
Resultado	`message`	Por ejemplo, `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Otros campos	No aplicable	No aplicable

Registro de ejemplo

{
  "pri": "87",
  "time": "2022-11-30T22:53:39.442037+00:00",
  "host": "zb-aa-bm01",
  "ident": "sshd",
  "pid": "757322",
  "msgid": "-",
  "extradata": "-",
  "message": "pam_tty_audit(sshd:session): restored status to 0",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-dn5jn",
  "_gdch_service_name": "inventory-machine-bm-e2c2a7e1"
}

Eventos TTY del SO

Todos los comandos imprimen resultados en la consola.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad de usuario o de servicio	`ident`	`"ident": "audispd"`
Objetivo (Campos y valores que llaman a la API)	`message`	Por ejemplo, `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo, `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Marca de tiempo de evento	`time`	Por ejemplo, `"time": "2022-12-20T10:23:35.878924+00:00"`
Fuente de la acción	`host`	Por ejemplo, `"host": "zk-aa-bm08"`
Resultado	`message`	Por ejemplo, `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Otros campos	No aplicable	No aplicable

Registro de ejemplo

{
  "pri": "14",
  "time": "2022-12-20T10:23:35.878924+00:00",
  "host": "zk-aa-bm08",
  "ident": "audispd",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-w6fl4",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

Eventos de ClamAV

Todos los eventos de análisis de ClamAV.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad de usuario o de servicio	`ident`	Posibles valores: `"ident": "clamav"` `"ident": "clamonacc"`
Objetivo (Campos y valores que llaman a la API)	`message`	Por ejemplo, `"message": "No virus found"`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo, `"message": "No virus found"`
Marca de tiempo de evento	`time`	Por ejemplo, `"time": "2022-12-20T04:01:47.219862+00:00"`
Fuente de la acción	`host`	Por ejemplo, `"host": "zk-aa-bm09"`
Resultado	`message`	Por ejemplo, `"message": "No virus found"`
Otros campos	No aplicable	No aplicable

Registro de ejemplo

{
  "pri": "86",
  "time": "2022-12-20T04:01:47.219862+00:00",
  "host": "zk-aa-bm09",
  "ident": "clamav",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "No virus found",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-b11f4752"
}

Eventos de AIDE

Todos los eventos de detección de intrusiones de AIDE.

Campos de la entrada de registro que contienen información de auditoría
Metadatos de auditoría	Nombre del campo de auditoría	Valor
Identidad de usuario o de servicio	`ident`	`"ident": "aide"`
Objetivo (Campos y valores que llaman a la API)	`message`	Por ejemplo, `"message": "AIDE check passed."`
Acción (Campos que contienen la operación realizada)	`message`	Por ejemplo, `"message": "AIDE check passed."`
Marca de tiempo de evento	`time`	Por ejemplo, `"time": "2022-12-20T10:20:09.428106+00:00"`
Fuente de la acción	`host`	Por ejemplo, `"host": "zk-aa-bm08"`
Resultado	`message`	Por ejemplo, `"message": "AIDE check passed."`
Otros campos	No aplicable	No aplicable

Registro de ejemplo

{
  "pri": "86",
  "time": "2022-12-20T10:20:09.428106+00:00",
  "host": "zk-aa-bm08",
  "ident": "aide",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "AIDE check passed.",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

Nodo y sistema operativo (SO) Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Eventos de inicio de sesión

Eventos TTY del SO

Eventos de ClamAV

Eventos de AIDE

Nodo y sistema operativo (SO)