節點和作業系統 (OS)

工作負載位置

硬體
稽核記錄來源

節點 OS
稽核的作業

登入事件

透過 OS SSH 連線進行的所有存取嘗試和動作。

記錄項目中包含稽核資訊的欄位
稽核中繼資料 稽核欄位名稱
使用者或服務身分 ident

"ident": "sshd"

目標

(呼叫 API 的欄位和值)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "pam_tty_audit(sshd:session): restored status to 0"

動作

(包含所執行作業的欄位)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "pam_tty_audit(sshd:session): restored status to 0"
事件時間戳記 time

例如,假設使用者要求系統 將文字從英文翻譯成法文

"time": "2022-11-30T22:53:39.442037+00:00"
動作來源 host

例如,假設使用者要求系統 將文字從英文翻譯成法文

"host": "zb-aa-bm01"
結果 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "pam_tty_audit(sshd:session): restored status to 0"
其他欄位 不適用 不適用

範例記錄

{
  "pri": "87",
  "time": "2022-11-30T22:53:39.442037+00:00",
  "host": "zb-aa-bm01",
  "ident": "sshd",
  "pid": "757322",
  "msgid": "-",
  "extradata": "-",
  "message": "pam_tty_audit(sshd:session): restored status to 0",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-dn5jn",
  "_gdch_service_name": "inventory-machine-bm-e2c2a7e1"
}

OS TTY 事件

所有指令都會在控制台上列印輸出內容。

記錄項目中包含稽核資訊的欄位
稽核中繼資料 稽核欄位名稱
使用者或服務身分 ident

"ident": "audispd"

目標

(呼叫 API 的欄位和值)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"

動作

(包含所執行作業的欄位)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"
事件時間戳記 time

例如,假設使用者要求系統 將文字從英文翻譯成法文

"time": "2022-12-20T10:23:35.878924+00:00"
動作來源 host

例如,假設使用者要求系統 將文字從英文翻譯成法文

"host": "zk-aa-bm08"
結果 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71"
其他欄位 不適用 不適用

範例記錄

{
  "pri": "14",
  "time": "2022-12-20T10:23:35.878924+00:00",
  "host": "zk-aa-bm08",
  "ident": "audispd",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "node=ubuntu type=TTY msg=audit(1671531815.870:94280): tty pid=1217279 uid=0 auid=0 ses=3536 major=136 minor=0 comm=\"pager\" data=71",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-w6fl4",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}

ClamAV 事件

所有 ClamAV 掃描事件。

記錄項目中包含稽核資訊的欄位
稽核中繼資料 稽核欄位名稱
使用者或服務身分 ident

可能的值包括:

  • "ident": "clamav"
  • "ident": "clamonacc"

目標

(呼叫 API 的欄位和值)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "No virus found"

動作

(包含所執行作業的欄位)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "No virus found"
事件時間戳記 time

例如,假設使用者要求系統 將文字從英文翻譯成法文

"time": "2022-12-20T04:01:47.219862+00:00"
動作來源 host

例如,假設使用者要求系統 將文字從英文翻譯成法文

"host": "zk-aa-bm09"
結果 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "No virus found"
其他欄位 不適用 不適用

範例記錄

{
  "pri": "86",
  "time": "2022-12-20T04:01:47.219862+00:00",
  "host": "zk-aa-bm09",
  "ident": "clamav",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "No virus found",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-b11f4752"
}

AIDE 事件

所有 AIDE 入侵偵測事件。

記錄項目中包含稽核資訊的欄位
稽核中繼資料 稽核欄位名稱
使用者或服務身分 ident

"ident": "aide"

目標

(呼叫 API 的欄位和值)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "AIDE check passed."

動作

(包含所執行作業的欄位)

 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "AIDE check passed."
事件時間戳記 time

例如,假設使用者要求系統 將文字從英文翻譯成法文

"time": "2022-12-20T10:20:09.428106+00:00"
動作來源 host

例如,假設使用者要求系統 將文字從英文翻譯成法文

"host": "zk-aa-bm08"
結果 message

例如,假設使用者要求系統 將文字從英文翻譯成法文

"message": "AIDE check passed."
其他欄位 不適用 不適用

範例記錄

{
  "pri": "86",
  "time": "2022-12-20T10:20:09.428106+00:00",
  "host": "zk-aa-bm08",
  "ident": "aide",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "AIDE check passed.",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-lcxgq",
  "_gdch_service_name": "inventory-machine-bm-7cc496d5"
}