Recopila registros de OSSEC
En este documento, se describe cómo puedes recopilar registros de OSSEC mediante la configuración de OSSEC y un servidor de reenvío de Google Security Operations. En este documento, también se enumeran los tipos de registros admitidos y la versión de OSSEC compatible.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Descripción general
En el siguiente diagrama de la arquitectura de implementación, se muestra cómo los agentes y servidores de OSSEC están configurados para enviar registros a Google Security Operations. En cada implementación de cliente difieran de esta representación y podrían ser más complejas.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux El sistema Linux que se supervisará. El sistema Linux consta de entre los archivos para supervisar y el agente de OSSEC.
Sistema Microsoft Windows. El sistema de Microsoft Windows que se supervisará en el que el agente de OSSEC esté instalado.
Agente de OSSEC. El agente de OSSEC recopila información de Microsoft Windows o Linux sistema operativo y reenvía la información al servidor de la OSSEC.
Servidor de OSSEC. El servidor OSSEC supervisa y recibe información del agentes de OSSEC. Analiza los registros y los reenvía al servidor de reenvío de Google Security Operations.
Servidor de reenvío de Google Security Operations. El servidor de reenvío de Google Security Operations es una solución componente de software implementado en la red del cliente y que admite syslog. El servidor de reenvío de Google Security Operations reenvía los registros a Google Security Operations.
Google Security Operations. Google Security Operations retiene y analiza los registros de el servidor OSSEC.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador
por la etiqueta de transferencia OSSEC
.
Antes de comenzar
Asegúrate de que el agente de OSSEC esté instalado en los sistemas Microsoft Windows o Linux que que planeas supervisar. Si quieres obtener más información para instalar el agente de OSSEC, consulta Instalación de OSSEC.
Usa una versión de OSSEC que admita el analizador de Google Security Operations. Google Security Operations es compatible con la versión 3.6.0 de OSSEC.
Asegúrate de que el servidor OSSEC esté instalado y configurado en el servidor central de Linux.
Verifica los tipos de registros que admite el analizador de Google Security Operations. En la siguiente tabla, se indican los productos y las rutas de acceso de los archivos de registro que admite el analizador de Google Security Operations:
Sistema operativo Producto Ruta de acceso del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux: Servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux correr /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura el agente y el servidor de OSSEC, y el reenviador de Operaciones de seguridad de Google
Para configurar el agente y el servidor de OSSEC, así como el servidor de reenvío de Google Security Operations, haz lo siguiente:
Para supervisar los registros que generan los sistemas Linux, crea un archivo
ossec.conf
para especificar la supervisión de registros actual del agente. Este es un ejemplo de archivo de configuración para el agente en el sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>
Para supervisar los registros que generan los sistemas Microsoft Windows, crea un
ossec.conf
. para especificar la configuración de supervisión de registros del agente. Aquí hay un ejemplo de configuración para el agente en el sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>
Para reenviar los registros del servidor OSSEC a Google Security Operations mediante el protocolo syslog, Crea el archivo de configuración del servidor OSSEC
syslog.conf
en el siguiente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>
Configura el servidor de reenvío de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instala y configura el reenviador en Linux. A continuación, se muestra un ejemplo de la configuración de un reenviador de Operaciones de seguridad de Google:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referencia de la asignación de campos
En esta sección, se explica cómo el analizador de Google Security Operations aplica patrones de grok para Sistemas Linux y Microsoft Windows y cómo asigna los campos de registro de OSSEC a los campos del Modelo de datos unificados (UDM) de Google Security Operations para cada tipo de registro
Para obtener información sobre la asignación de referencia de campos comunes, consulta Campos comunes
Para obtener información de referencia sobre rutas de registro, patrones grok, por ejemplo, registros, tipos de eventos, y UDM en los sistemas Linux, consulta las siguientes secciones:
- Linux
- Auditar
- Tipo de evento del registro de auditoría
- Correo electrónico
- Tipo de evento del registro de correo
Para obtener información sobre los eventos compatibles de Microsoft Windows y los campos UDM correspondientes, consulta lo siguiente: consulta Datos de eventos de Microsoft Windows
Campos comunes
En la siguiente tabla, se enumeran los campos de registro comunes y sus campos de UDM correspondientes.
Campo de registro común | Campo de UDM |
---|---|
collected_time | metadata.collected_timestamp |
aplicación | principal.application |
log | metadata.description |
ip | target.ip o principal.ip |
Nombre de host | target.hostname o principal.hostname |
Sistema Linux
En la siguiente tabla, se muestran las rutas de acceso de registro para el sistema Linux, el patrón de Grok para registros de ejemplo, el tipo de evento y las asignaciones de UDM:
Ruta de registro | Registro de ejemplo | Patrón de redondo | Tipo de evento | Asignación de UDM |
---|---|---|---|---|
/var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] no pudo establecer la conexión | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asigna a security_result.description network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] no se pudo establecer la conexión | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid está asignado a target.process.pid error_message se asignó a security_result.description network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Línea de comandos: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name se establece en "Apache". metadata.product_name se establece en "Apache HTTP Server". La marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description target.platform se establece en "LINUX". La URL de referencia se asignó a la red.http.referral_url |
/var/log/apache2/error.log | Dom 30 de enero 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH011191: failed to make 2.com. | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [cliente {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?” | NETWORK_HTTP | La marca de tiempo se asigna a metadata.event_timestamp log_module está asignado a target.resource.name log_level se asignó a security_result.severity El pid se asignó a target.process.parent_process.pid. tid se asigna a target.process.pid client_ip se asigna a principal.ip client_port se asignó a principal.port error_message se asignó a security_result.description target_ip se asignó a target.ip. La URL de referencia se asignó a la red.http.referral_url network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Nueva conexión: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp client_ip se asigna a principal.ip client_port se asignó a principal.port connection_id se asignó a network.session_id network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/error.log | [Sáb 2 de febrero 00:30:55 2019] Solicitud nueva: [conexión: j8BjX4Z5tjk] [solicitud: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp request_id se asignó a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip client_port se asignó a principal.port El pid se asignó a target.process.parent_process.pid. connection_id se asignó a network.session_id network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784: AH001/local. | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | La marca de tiempo se asigna a metadata.event_timestamp. log_level se asignó a security_result.severity request_id se asignó a security_result.detection_fields.(clave/valor) client_ip se asigna a principal.ip client_port se asignó a principal.port El pid se asignó a target.process.parent_process.pid. connection_id se asignó a network.session_id error_message se asignó a security_result.description file_path se asignó a target.file.full_path network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/access.log | 10.50.0.1 - - [28/Abr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 “http://192.0.2.1/test/first.html” "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip se asigna a principal.ip userid se asigna a principal.user.userid host se asigna a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp El método se asigna a network.http.method. recurso se asignó a principal.resource.name client_protocol está asignado a network.application_protocol result_status se asigna a network.http.response_code object_size se asignó a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Ene/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host se asigna a target.hostname target_port se asignó a target.port client_ip se asigna a principal.ip userid se asigna a principal.user.userid host se asigna a principal.hostname La marca de tiempo se asigna a metadata.event_timestamp El método se asigna a network.http.method. recurso se asignó a principal.resource.name result_status se asignó a network.http.response_code object_size se asignó a network.sent_bytes La URL de referencia se asignó a la red.http.referral_url user_agent está asignado a network.http.user_agent network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". metadata.product_name se establece en "Apache HTTP Server". network.application_protocol está configurado en “HTTP” |
/var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | La ruta de acceso se asignó a target.url. referer_url se asigna a network.http.referral_url network.direction está configurado como "OUTBOUND" El parámetro target.platform está configurado en "LINUX" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
/var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent está asignado a network.http.user_agent network.direction está configurado como "OUTBOUND" El parámetro target.platform está configurado en "LINUX" network.application_protocol está configurado en “HTTP” El parámetro target.platform está configurado en "LINUX" metadata.vendor_name se establece en "Apache". “metadata.product_name” está configurado como “Servidor HTTP de Apache” |
var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 “http://192.0.2.1/” "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | el tiempo se asigna a metadata.timestamp ip se asignó a target.ip. principal_ip se asignó a principal.ip principal_user_userid se asigna a principal.user.userid metadata_timestamp se asigna a la marca de tiempo http_method se asigna a network.http.method resource_name se asignó a principal.resource.name El protocolo se asigna a network.application_protocol = (HTTP). response_code está asignado a network.http.response_code recibido_bytes se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent está asignado a network.http.user_agent El parámetro target.platform está configurado en "LINUX" metadata.vendor_name está configurado en “NGINX” El valor “metadata.product_name” está configurado como “NGINX”. network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" |
var/log/nginx/error.log | 29/01/2022 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" error (2: Sin tal archivo o directorio), cliente: 192.0.2.1, servidor: localhost, solicitud: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
Internal_message2 se asigna a “{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() a ({target_ip}|[{target_ip}]):{target_port} falló ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id se asignó a principal.process.pid severity se asigna a security_result.severity (la depuración se asigna a UNKNOWN_SEVERITY, la información se asigna a INFORMATIONAL, el aviso se asigna a LOW, la advertencia se asigna a MEDIUM, el error se asigna a ERROR, la crítica se asigna a CRITICAL y la alerta se asigna a HIGH) target_file_full_path se asigna a target.file.full_path principal_ip se asignó a principal.ip target_hostname se asigna a target.hostname El método http está asignado a network.http.method. resource_name se asignó a principal.resource.name el protocolo está asignado a "TCP" target_ip se asignó a target.ip. target_port se asigna a target.port Se asignó security_description + security_result_description_2 a security_result.description. El pid se asignó a principal.process.parent_process.pid. network.application_protocol está configurado como "HTTP". la marca de tiempo se asigna a %{year}/%{day}/%{month} a %{time} target.platform se establece en "LINUX". metadata.vendor_name está configurado en “NGINX” El valor “metadata.product_name” está configurado como “NGINX”. network.ip_protocol está configurado como “TCP” network.direction está configurado como "OUTBOUND" |
var/log/rkhunter.log | [14:10:40] No se pudo verificar la comprobación de los comandos obligatorios | [<message_text>]{security_description} | STATUS_UPDATE | el tiempo se asigna a metadata.timestamp securtiy_description se asignó a security_result.description principal.platform está configurado en "LINUX" "metadata.vendor_name" está configurado como "RootKit Hunter". "Metadata.product_name" está configurado en "RootKit Hunter". |
var/log/rkhunter.log | [14:09:52] Buscando el archivo '/dev/.oz/.nap/rkit/terror' [ No encontrado ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path security_description se asigna a security_result.description principal.platform está configurado en "LINUX" "metadata.vendor_name" está configurado como "RootKit Hunter". "Metadata.product_name" está configurado en "RootKit Hunter". |
var/log/rkhunter.log | ossec: Se redujo el tamaño del archivo (nodo permaneció): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | el tiempo se asigna a metadata.timestamp metadata_description se asigna a metadata.description file_path se asigna a target.file.full_path principal.platform se establece en "LINUX". "metadata.vendor_name" está configurado como "RootKit Hunter". metadata.product_name se establece en "RootKit Hunter". |
/var/log/kern.log | 7 de julio 18:48:32 kernel de zynvpnsvr: [2081387.006876] IPv4: fuente marciana 1.20.32.39 desde 192.0.2.1, en dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, en el desarrollador {target_user_userid} | NETWORK_CONNECTION | La marca de tiempo se asigna a "metadata.event_timestamp". principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. target_ip se asignó a "target.ip". principal_ip se asigna a “principal.ip”. target_user_userid está asignado a "target.user.userid" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform se establece en "LINUX". |
/var/log/kern.log | 25 de octubre 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". metadata_description se asigna a "metadata.description". file_path está asignada a "principal.process.file" pid se asigna a "principal.process.pid". metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform se establece en "LINUX". |
/var/log/kern.log | 28 de abril 12:41:35 kernel de localhost: [ 5079.912215] ctnetlink v0.93: registro con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” metadata_product_event_type se asigna a "metadata.product_event_type". metadata_description se asigna a "metadata.description" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform se establece en "LINUX". |
/var/log/kern.log | 28 de abril 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20 GHz (familia: 0x6, modelo: 0x55, pasos: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | la marca de tiempo se asigna a "metadata.event_timestamp" principal_hostname se asigna a “principal.hostname” “metadata_product_event_type” se asignó a “metadata.product_event_type”. principal_asset_hardware_cpu_model se asigna a “principal.asset.hardware.cpu_model” metadata_description se asigna a "metadata.description" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" El modelo_cpu se asigna a principal.asset.hardware.cpu_model |
/var/log/syslog.log | 29 de enero 13:51:46 envt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time se asigna a metadata.event_timestamp el nombre de host se asignó a principal.hostname pid se asigna a principal.process.pid El método http está asignado a network.http.method. response_code está asignado a network.http.response_code El recurso se asignó a target.url. target_ip se asigna a target.ip recibido_bytes se asigna a network.received_bytes metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
/var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})de: {target_ip} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. log_level se asignó a security_result.severity mensaje se asignó a metadata.description La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" target_ip se asigna a target.ip |
/var/log/syslog.log | 26 de julio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Nueva conexión a partir de 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. log_level se asignó a security_result.severity la descripción se asignó a security_result.description. command_line se asigna a principal.process.command_line metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform se establece en "LINUX". |
/var/log/syslog.log | 29 de enero 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Nombre de agente no válido zsecmgr0000-0719 (duplicado) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. log_level se asigna a security_result.severity la descripción y el motivo se asignaron a security_result.description. La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform se establece en "LINUX". |
/var/log/syslog.log | 2 de mayo 06:25:01 localhost apachectl[64942]: AH00558: apache2: No se pudo determinar de forma confiable el nombre de dominio completamente calificado del servidor mediante ::1. Configura el “Nombre del servidor” directiva global para suprimir este mensaje | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. mensaje se asignó a metadata.description metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
/var/log/syslog.log | 2 de mayo 00:00:45 localhost fstrim[64727]: /: Se recortaron 6.7 GiB (7205015552 bytes) | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. mensaje se asignó a metadata.description metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
/var/log/syslog.log | 3 de mayo 10:14:37 localhost rsyslogd: El ID de usuario de rsyslogd cambió a 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | Se asigna Collect_time a metadata.collected_timestamp. el nombre de host se asignó a principal.hostname mensaje se asignó a metadata.description user_id se asignó a principal.user.userid La línea de comandos se asigna a principal.process.command_line. metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform se establece en "LINUX". |
/var/log/syslog.log | 5 de mayo 10:36:48 localhost systemd[1]: Iniciando el servicio de registro del sistema... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | Se asigna Collect_time a metadata.event_timestamp. el nombre de host se asignó a principal.hostname El pid se asignó a principal.process.pid. mensaje se asignó a metadata.description metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" La línea de comandos se asigna a principal.process.command_line. |
/var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/mail.log | 7 de abr. 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/mail.log | 7 de abril 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. resource_name se asigna a target.resource.name metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/mail.log | 7 de abril 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (cola activa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/mail.log | 7 de abril 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is Unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/mail.log | 7 de abr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname está asignado a target.hostname aplicación está asignada a target.application El pid se asignó a target.process.pid. metadata.vendor_name está configurado en “OSSEC” metadata.product_name se establece en "OSSEC". |
/var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Cómo acceder a la clave de configuración '[filterNames]' a través de la notación de puntos dejó de estar disponible y se quitará en una versión futura. En su lugar, usa "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | la línea de comandos está asignada a “target.process.command_line” file_path está asignado a "target.process.file.full_path" la marca de tiempo se asigna a "metadata.event_timestamp" la gravedad se asigna a “security_result.severity” El resumen se asigna a "security_result.summary". security_description se asigna a "security_result.description" “metadata.product_name” está configurado como “OSSEC” metadata.vendor_name está configurado en “OSSEC” |
/var/log/auth.log | 27 de abril 21:03:03 Ubuntu18 systemd-logind[836]: Se quitó la sesión 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | la marca de tiempo se asigna a “metadata.timestamp” Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id está asignado a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". “principal.platform” está asignado a "LINUX" if(remove_session) event_type se estableció en USER_LOGOUT. extensions.auth.type se establece en AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/auth.log | 28/04 11:33:24 Ubuntu18 systemd-logind[836]: Nueva sesión 3205 del usuario raíz. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | La marca de tiempo se asigna a "metadata.timestamp". Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id está asignado a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". "principal.platform" está asignado a "LINUX". "network.application_protocol" está asignado a “SSH” if(new_session) event_type se estableció en USER_Login. El parámetro extensions.auth.type está configurado como AUTHTYPE_UNSPECIFIED. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/auth.log | 28 de abril 11:35:31 Ubuntu18 sshd[23573]: Contraseña aceptada para la raíz del puerto 10.0.1.1 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | La marca de tiempo se asigna a "metadata.timestamp". Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_ip se asigna a “principal.ip”. principal_port se asignó a "principal.port" security_result_detection_fields_ssh_kv se asigna a “security_result.detection_fields.key/value”. security_result_detection_fields_kv se asigna a “security_result.detection_fields.key/value” “principal.platform” esté configurado en "LINUX" "network.application_protocol" esté configurado en "SSH" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | La marca de tiempo se asigna a "metadata.timestamp". Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" principal_user_uuserid se asigna a "principal.user.attribute.labels". principal_user_attribute_labels_euid_kv se asigna a “principal.user.attribute.labels.key/value”. principal_ruser_userid se asigna a “principal.user.attribute.labels.key/value”. target_ip se asignó a "target.ip". Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid"; de lo contrario, se asigna a "target.user.userid". “principal.platform” esté configurado en "LINUX" "network.application_protocol" esté configurado en "SSH" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/auth.log | 24 feb 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp se asigna a metadata.timestamp principal_hostname se asignó a principal.hostname principal_application se asignó a principal.application El pid se asignó a principal.process.pid. principal_user_userid se asigna a target.user.userid security_description se asigna a "security_result.description" principal_process_command_line_1 se asigna a "principal.process.command_line". principal_process_command_line_2 se asigna a "principal.process.command_line". principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" “principal.platform” esté configurado en "LINUX" |
/var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido|usuario)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a “principal.user.attribute.labels.key/value”. "principal.platform" se establece en "LINUX". "network.application_protocol" esté configurado en "SSH" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/auth.log | 26 de abril 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión cerrada para la raíz del usuario | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuario no válido|usuario)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | la marca de tiempo se asigna a metadata.timestamp Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". de lo contrario, se asigna a “principal.hostname”. Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application" de lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, el pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". de lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value “principal.platform” esté configurado en "LINUX" metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
/var/log/auth.log | 24 de mayo 12:56:31 ip-10-50-2-176 sshd[119931]: Se agotó el tiempo de espera, el cliente no responde. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp se asigna a metadata.timestamp principal_hostname se asignó a principal.hostname principal_application se asignó a principal.application El pid se asignó a principal.process.pid. Se asignó security_result_description a security_result_description. "principal.platform" se establece en "LINUX". metadata.vendor_name está configurado en OSSEC El valor de metadata.product_name es OSSEC |
var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: Se borra la caché y se vuelve a crear con el número de versión 2. | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | la marca de tiempo se asigna a “metadata.timestamp” pid se asigna a "principal.process.pid". principal_user_attribute_labels_kv se asigna a “principal.user.attribute.labels”. principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels". principal_user_userid se asigna a "principal.user.userid". principal_group_product_object_id se asigna a “principal.group.product_object_id” security_description se asigna a "security_result.description". metadata_description se asigna a "metadata.description". “metadata.product_name” está configurado como “OSSEC” "metadata.vendor_name" esté configurado en “OSSEC” |
var/log/samba/log.winbindd | mensajería_dgm_init: error de vinculación: no queda espacio en el dispositivo | {user_id}: {desc} | STATUS_UPDATE | “metadata.product_name” está configurado como “OSSEC” metadata.vendor_name" esté configurado en “OSSEC” user_id se asigna a principal.user.userid desc se asignó a metadata.description |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOG/10.50.0.1:16245 MULTI: Más información: 272.27. mohit_AUTOACCEDER/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|”) | NETWORK_HTTP | la marca de tiempo se asigna a metadata.timestamp log_level se asignó a security_result.severity local_ip se asigna a principal.ip target_ip se asignó a target.ip. target_hostname se asignó a principal.hostname el puerto está asignado a target.port el usuario se asignó a principal.user.user_display_name metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLogin] [OVPN 4]OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTO ID]. | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
mensaje se asigna a <message_text>con[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | timestamp se asigna a metadata.timestamp log_level se asignó a security_result.severity message se asigna a security_result.description metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
var/log/openvpnas.log | (estado=1)". | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. el usuario se asignó a principal.user.user_display_name ip se asignó a principal.ip metadata.vendor_name está configurado en "OpenVPN" metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
var/log/openvpnas.log | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp se asigna a metadata.timestamp log_level se asignó a security_result.severity El mensaje se asignó a security_result.description. El resumen se asignó a security_result.summary. user_name se asigna a principal.user.user_display_name la CLI se asignó a principal.process.command_line. el estado se asigna a principal.user.user_authentication_status metadata.vendor_name se establece en "OpenVPN". metadata.product_name está configurado como "OpenVPN Access Server" principal.platform está configurado en "LINUX" |
|
/var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType en la hoja actual Registro de auditoría de la pestaña Asignación de EventType | audit_log_type se asigna a metadata.product_event_type. metadata_ingested_timestamp se asigna a "metadata.event_timestamp". metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.plateform se establece en "LINUX" los datos se asignan al par clave-valor-> Asignación de UDM en la pestaña audit.log de la hoja actual |
var/ossec/logs/ossec.log | 12/05/2022 18:15:34 ossec-syscheckd: INFO: Iniciando análisis de syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity La línea de comandos se asignó a target.process.command_line. metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' no accesible: “Conexión rechazada”. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description El recurso se asignó a target.resource.name. metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 11/05/2022 19:34:27 ossec-logcollector(1950): INFO: Analizando archivo: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 11/05/2022 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata.vendor_name está configurado en OSSEC El valor de metadata.product_name es OSSEC |
var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Lee el archivo de claves de autenticación. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: No se pudo abrir el archivo "/queue/rids/004" debido a [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata_description se asigna a metadata.description error_code se asignó a security_result.summary error_metadata_description se asigna a security_result.summary metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 23/03/2022 13:00:51 ossec-remoted(1206): ERROR: No se puede vincular el puerto “1514” | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description el puerto está asignado a target.port metadata.vendor_name se establece en “OSSEC”. “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 11/05/2022 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity metadata_description se asigna a metadata.description file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
var/ossec/logs/ossec.log | 11/05/2022 19:32:06 ossec-analysisd: INFO: Ignoing file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignorando|Ignorando archivo)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | aplicación está asignada a target.application El pid se asignó a target.process.pid. severity se asigna a security_result.severity file_path se asignó a target.file.full_path metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” |
proceso ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocolo se asigna a network.ip_protocol El pid se asignó a principal.process.pid. El parámetro metadata.description se estableció en Nombre del programa: %{process_name} metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
syscheck | Se modificó el archivo “/usr/bin/fwts”. | Archivo “{file_path}” {description} | FILE_MODIFICATION | description se asigna a metadata.description file_path se asigna a target.file.full_path metadata.vendor_name está configurado en “OSSEC” “metadata.product_name” está configurado como “OSSEC” principal.platform está configurado en "LINUX" |
Auditoría
Campos de registro de auditoría a campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de auditoría y sus correspondientes campos UDM.
Campo de registro | Campo de UDM |
---|---|
cuenta | target.user.user_display_name |
addr | principal.ip |
arco | about.labels.key/value |
Auid | target.user.userid |
cgroup | principal.process.file.full_path |
cmd | target.process.command_line |
comm | target.application |
cwd | target.file.full_path |
datos | about.labels.key/value |
devmajor | about.labels.key/value |
Devminor | about.labels.key/value |
egid | target.group.product_object_id |
euid | target.user.userid |
exe | target.process.file.full_path |
exit | target.labels.key/value |
familia | network.ip_protocol está configurado en “IP6IN4” if "ip_protocol" == 2 si no, se establece en “UNKNOWN_IP_PROTOCOLO” |
filetype | target.file.mime_type |
FSGID | target.group.product_object_id |
fsuid | target.user.userid |
gid | target.group.product_object_id |
Nombre de host | target.hostname |
icmptype | network.ip_protocol está configurado en “ICMP” |
id | Si [audit_log_type] == "ADD_USER", target.user.userid se establece en "%{id}".
Si [audit_log_type] == "ADD_GROUP", se establece target.group.product_object_id en "%{id}". else target.user.attribute.labels.key/value está configurado como id |
inodo | target.resource.product_object_id |
clave | security_result.detection_fields.key/value |
list | security_result.about.labels.key/value |
Standard | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
name | target.file.full_path |
nuevo-disco | target.resource.name |
nueva-mem | target.resource.attribute.labels.key/value |
new-vcpu | target.resource.attribute.labels.key/value |
nueva-red | pincipal.mac |
new_gid | target.group.product_object_id |
oauid | target.user.userid |
ocomm | target.process.command_line |
opid | target.process.pid |
oses | network.session_id |
ouid | target.user.userid |
obj_gid | target.group.product_object_id |
obj_role | target.user.attribute.role.name |
obj_uid | target.user.userid |
obj_user | target.user.user_display_name |
ogida | target.group.product_object_id |
uuid | target.user.userid |
ruta | target.file.full_path |
permanente | target.asset.attribute.permissions.name |
pid | target.process.pid |
ppid | target.parent_process.pid |
protocolo | Si [ip_protocol] == 2, network.ip_protocol se establece en "IP6IN4".
else network.ip_protocol se establece en "UNKNOWN_IP_PROTOCOL" |
resolución | security_result.summary |
Resultado | security_result.summary |
saddr | security_result.detection_fields.key/value |
sauid | target.user.attribute.labels.key/value |
ses | network.session_id |
SGID | target.group.product_object_id |
sig | security_result.detection_fields.key/value |
subj_user | target.user.user_display_name |
correcto | Si success=='yes', securtiy_result.summary se establece en 'system call was successful'.
else securtiy_result.summary se estableció como “error de llamada al sistema” |
suid | target.user.userid |
llamada al sistema | about.labels.key/value |
terminal | target.labels.key/value |
tty | target.labels.key/value |
uid | Si [audit_log_type] está en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, ADD_GROUP, DEL_USER, USER_CMD_user POLICY del usuario, USER_MAC_MAC es la principal].
else uid se establece en target.user.userid |
vm | target.resource.name |
Tipos de registros de auditoría a tipo de evento de UDM
En la siguiente tabla, se indican los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.
Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
---|---|---|
ADD_GROUP | GROUP_CREATION | Se activa cuando se agrega un grupo de espacio de usuario. |
ADD_USER | USER_CREATION | Se activa cuando se agrega una cuenta de usuario al espacio de usuario. |
ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anormal (con un indicador que podría causar un volcado del núcleo, si está habilitado). |
AVC | GENERIC_EVENT | Se activa para registrar una verificación de permisos de SELinux. |
CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
CRED_ACQ | USER_LOGIN | Se activa cuando un usuario adquiere credenciales del espacio de usuario. |
CRED_DISP | USER_LOGOUT | Se activa cuando un usuario borra las credenciales del espacio de usuario. |
CRED_REFR | USER_LOGIN | Se activa cuando un usuario actualiza sus credenciales del espacio de usuario. |
CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos. |
CRYPTO_SESSION | PROCESS_TERMINATION | Se activa para registrar los parámetros establecidos durante el establecimiento de una sesión de TLS. |
CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
DAEMON_ABORT | PROCESS_TERMINATION | Se activa cuando se detiene un daemon debido a un error. |
DAEMON_END | PROCESS_TERMINATION | Se activa cuando se detiene correctamente un daemon. |
DAEMON_RESUME | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd reanuda el registro. |
DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
DAEMON_START | PROCESS_LAUNCH | Se activa cuando se inicia el daemon auditd. |
DEL_GROUP | GROUP_DELETION | Se activa cuando se borra un grupo de espacio de usuario. |
Pendiente | USER_DELETION | Se activa cuando se borra un usuario del espacio de usuario. |
EJECVE | PROCESS_LAUNCH | Se activa para registrar argumentos de la llamada al sistema execve(2). |
MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano de SELinux. |
MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec, cuando se detecta uno o cuando cambia la configuración de IPSec. |
MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política de SELinux. |
MAC_STATUS | GENERIC_EVENT | Se activa cuando se cambia el modo SELinux (de aplicación forzosa, permisivo, desactivado). |
MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se agrega una etiqueta estática cuando se usan las funciones de etiquetado de paquetes del kernel que proporciona NetLabel. |
NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan modificaciones de la cadena de Netfilter. |
OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía una señal. |
PATH | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta del nombre del archivo. |
SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
SERVICE_START | SERVICE_START | Se activa cuando se inicia un servicio. |
SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
SISTEMA | GENERIC_EVENT | Se activa para registrar una llamada del sistema al kernel. |
SYSTEM_BOOT | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
SYSTEM_RUNLEVEL | STATUS_UPDATE | Se activa cuando se cambia el nivel de ejecución del sistema. |
SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
USER_ACCT | SETTING_MODIFICATION | Se activa cuando se modifica una cuenta de usuario del espacio de usuario. |
USER_AUTH | USER_LOGIN | Se activa cuando se detecta un intento de autenticación del espacio de usuario. |
USER_AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje AVC del espacio del usuario. |
USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de cuenta de usuario. |
USER_CMD | USER_COMMUNICATION | Se activa cuando se ejecuta un comando de shell de espacio de usuario. |
USER_END | USER_LOGOUT | Se activa cuando finaliza una sesión en el espacio de usuario. |
USER_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error de estado de cuenta de usuario. |
USER_LOGIN | USER_LOGIN | Se activa cuando un usuario accede a su cuenta. |
USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario sale de su cuenta. |
USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon del espacio de usuario carga una política SELinux. |
USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar datos de administración del espacio del usuario. |
USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia el rol de SELinux de un usuario. |
USER_START | USER_LOGIN | Se activa cuando se inicia una sesión en el espacio de usuario. |
USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio de configuración del sistema en el espacio del usuario. |
VIRT_CONTROL | STATUS_UPDATE | Se activa cuando se inicia, pausa o detiene una máquina virtual. |
VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta a una máquina virtual. |
VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Envía campos de registro por correo electrónico a los campos de UDM
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correo electrónico y sus correspondientes campos UDM.
Campo de registro | Campo de UDM |
---|---|
Clase | about.labels.key/value |
Ctladdr | principal.user.user_display_name |
Desde | network.email.from |
Msgid | network.email.mail_id |
Proto | network.application_protocol |
Retransmisión | intermediary.hostname
intermediary.ip |
Tamaño | network.received_bytes |
Estadísticas | security_result.summary |
a | network.email.to |
Enviar tipos de registros por correo electrónico al tipo de evento de UDM
En la siguiente tabla, se indican los tipos de registros de correo electrónico y sus tipos de eventos de UDM correspondientes.
Tipo de registro de correo electrónico | Tipo de evento de la AUA |
---|---|
sendmail | GENERIC_EVENT |
pickup | EMAIL_UNCATEGORIZED |
cleanup | GENERIC_EVENT |
qmgr | EMAIL_UNCATEGORIZED |
smtp | GENERIC_EVENT |
local | EMAIL_UNCATEGORIZED |