Cette page a été traduite par l'API Cloud Translation.

Nœud et système d'exploitation (OS)

Emplacement de la charge de travail

Matériel

Source du journal d'audit

OS du nœud

Opérations auditées

Événements de connexion
Événements de téléscripteur du système d'exploitation
Événements de l'antivirus ClamAV
Événements Advanced Intrusion Detection Environment (AIDE)

Toutes les tentatives d'accès et les actions effectuées via les connexions SSH à l'OS.

Champs de l'entrée de journal contenant des informations d'audit
Métadonnées d'audit	Nom du champ d'audit	Valeur
Identité de l'utilisateur ou du service	`ident`	`"ident": "sshd"`
Cible (Champs et valeurs qui appellent l'API)	`message`	Par exemple, `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Action (Champs contenant l'opération effectuée)	`message`	Par exemple, `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Code temporel de l'événement	`time`	Par exemple, `"time": "2022-11-30T22:53:39.442037+00:00"`
Source de l'action	`host`	Par exemple, `"host": "zb-aa-bm01"`
Résultat	`message`	Par exemple, `"message": "pam_tty_audit(sshd:session): restored status to 0"`
Autres champs	Non applicable	Non applicable

Exemple de journal

{
  "pri": "87",
  "time": "2022-11-30T22:53:39.442037+00:00",
  "host": "zb-aa-bm01",
  "ident": "sshd",
  "pid": "757322",
  "msgid": "-",
  "extradata": "-",
  "message": "pam_tty_audit(sshd:session): restored status to 0",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-dn5jn",
  "_gdch_service_name": "inventory-machine-bm-e2c2a7e1"
}

Événements TTY de l'OS

Toutes les commandes qui affichent des résultats dans la console.

Champs de l'entrée de journal contenant des informations d'audit
Métadonnées d'audit	Nom du champ d'audit	Valeur
Identité de l'utilisateur ou du service	`ident`	`"ident": "audispd"`
Cible (Champs et valeurs qui appellent l'API)	`message`	Par exemple, `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Action (Champs contenant l'opération effectuée)	`message`	Par exemple, `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Code temporel de l'événement	`time`	Par exemple, `"time": "2022-12-20T10:23:35.878924+00:00"`
Source de l'action	`host`	Par exemple, `"host": "zk-aa-bm08"`
Résultat	`message`	Par exemple, `"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"`
Autres champs	Non applicable	Non applicable

Exemple de journal

{
  "pri": "14",
  "time": "2022-12-20T10:23:35.878924+00:00",
  "host": "zk-aa-bm08",
  "ident": "audispd",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-w6fl4",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

Événements ClamAV

Tous les événements d'analyse ClamAV.

Champs de l'entrée de journal contenant des informations d'audit
Métadonnées d'audit	Nom du champ d'audit	Valeur
Identité de l'utilisateur ou du service	`ident`	Valeurs possibles : `"ident": "clamav"` `"ident": "clamonacc"`
Cible (Champs et valeurs qui appellent l'API)	`message`	Par exemple, `"message": "No virus found"`
Action (Champs contenant l'opération effectuée)	`message`	Par exemple, `"message": "No virus found"`
Code temporel de l'événement	`time`	Par exemple, `"time": "2022-12-20T04:01:47.219862+00:00"`
Source de l'action	`host`	Par exemple, `"host": "zk-aa-bm09"`
Résultat	`message`	Par exemple, `"message": "No virus found"`
Autres champs	Non applicable	Non applicable

Exemple de journal

{
  "pri": "86",
  "time": "2022-12-20T04:01:47.219862+00:00",
  "host": "zk-aa-bm09",
  "ident": "clamav",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "No virus found",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-b11f4752"
}

Événements AIDE

Tous les événements de détection d'intrusion AIDE.

Champs de l'entrée de journal contenant des informations d'audit
Métadonnées d'audit	Nom du champ d'audit	Valeur
Identité de l'utilisateur ou du service	`ident`	`"ident": "aide"`
Cible (Champs et valeurs qui appellent l'API)	`message`	Par exemple, `"message": "AIDE check passed."`
Action (Champs contenant l'opération effectuée)	`message`	Par exemple, `"message": "AIDE check passed."`
Code temporel de l'événement	`time`	Par exemple, `"time": "2022-12-20T10:20:09.428106+00:00"`
Source de l'action	`host`	Par exemple, `"host": "zk-aa-bm08"`
Résultat	`message`	Par exemple, `"message": "AIDE check passed."`
Autres champs	Non applicable	Non applicable

Exemple de journal

{
  "pri": "86",
  "time": "2022-12-20T10:20:09.428106+00:00",
  "host": "zk-aa-bm08",
  "ident": "aide",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "AIDE check passed.",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

Nœud et système d'exploitation (OS) Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Événements de connexion

Événements TTY de l'OS

Événements ClamAV

Événements AIDE

Nœud et système d'exploitation (OS)