Raccogli i log di OSSEC
Questo documento descrive come raccogliere i log di OSSEC configurando OSSEC e un forwarder di Google Security Operations. Questo documento elenca anche i tipi di log supportati e la versione di OSSEC supportata.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra in che modo gli agenti e i server OSSEC vengono configurati per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa da questa rappresentazione e potrebbe essere più complessa.
Il diagramma dell'architettura mostra i seguenti componenti:
Sistema Linux. Il sistema Linux da monitorare. Il sistema Linux è costituito dai file da monitorare e dall'agente OSSEC.
Sistema Microsoft Windows. Il sistema Microsoft Windows da monitorare in cui è installato l'agente OSSEC.
Agente OSSEC. L'agente OSSEC raccoglie le informazioni dal sistema Microsoft Windows o Linux e le inoltra al server OSSEC.
Server OSSEC. Il server OSSEC monitora e riceve informazioni dagli agenti OSSEC, analizza i log e li inoltra al forwarder di Google Security Operations.
Inoltro di Google Security Operations. Il forwarder di Google Security Operations è un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, che supporta syslog. Il forwarder di Google Security Operations inoltra i log a Google Security Operations.
Google Security Operations. Google Security Operations conserva e analizza i log del server OSSEC.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione OSSEC.
Prima di iniziare
Assicurati che l'agente OSSEC sia installato sui sistemi Microsoft Windows o Linux che intendi monitorare. Per ulteriori informazioni sull'installazione dell'agente OSSEC, consulta Installazione di OSSEC
Utilizza una versione di OSSEC supportata dal parser di Google Security Operations. Il parser di Google Security Operations supporta la versione 3.6.0 di OSSEC.
Assicurati che il server OSSEC sia installato e configurato sul server Linux centrale.
Verifica i tipi di log supportati dal parser di Google Security Operations. Nella tabella seguente sono elencati i prodotti e i percorsi dei file log supportati dal parser di Google Security Operations:
Sistema operativo Prodotto Percorso del file di log Microsoft Windows Microsoft Windows Log eventi Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux - Server OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configurare l'agente e il server OSSEC e il forwarder di Google Security Operations
Per configurare l'agente e il server OSSEC e il forwarder di Google Security Operations:
Per monitorare i log generati dai sistemi Linux, crea un file
ossec.confper specificare la configurazione del monitoraggio dei log per l'agente. Ecco un esempio di file di configurazione per l'agente sul sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Per monitorare i log generati dai sistemi Microsoft Windows, crea un
ossec.conffile per specificare la configurazione del monitoraggio dei log per l'agente. Ecco un esempio di file di configurazione per l'agente sul sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Per inoltrare i log dal server OSSEC a Google Security Operations utilizzando il protocollo syslog, crea il file di configurazione del server
syslog.confOSSEC nel seguente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configura il forwarder di Google Security Operations per inviare i log a Google Security Operations. Per ulteriori informazioni, consulta Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione di un forwarder di Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Riferimento alla mappatura dei campi
Questa sezione spiega in che modo il parser di Google Security Operations applica i pattern grok per i sistemi Linux e Microsoft Windows e in che modo mappa i campi dei log OSSEC ai campi del modello di dati unificato (UDM) di Google Security Operations per ogni tipo di log.
Per informazioni sul riferimento di mappatura dei campi comuni, vedi Campi comuni
Per informazioni di riferimento sui percorsi dei log, sui pattern Grok per i log di esempio, sui tipi di eventi e sui campi UDM sui sistemi Linux, consulta le seguenti sezioni:
Per informazioni sugli eventi Microsoft Windows supportati e sui campi UDM corrispondenti, consulta Dati sugli eventi Microsoft Windows.
Campi comuni
La tabella seguente elenca i campi dei log comuni e i relativi campi UDM.
| Campo log comune | Campo UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| applicazione | principal.application |
| log | metadata.description |
| ip | target.ip o principal.ip |
| nome host | target.hostname o principal.hostname |
Sistema Linux
La tabella seguente elenca i percorsi dei log per il sistema Linux, il pattern Grok per i log di esempio, il tipo di evento e le mappature UDM:
| Percorso del log | Log di esempio | Pattern Grok | Tipo di evento | Mappatura UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target.platform è impostato su "LINUX" referer_url è mappato a network.http.referral_url |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato a principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target_ip è mappato a target.ip referer_url è mappato a network.http.referral_url network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sab 02 feb 00:30:55 2019] Nuova connessione: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp client_ip è mappato a principal.ip client_port è mappato a principal.port connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] Nuova richiesta: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp request_id è mappato a security_result.detection_fields.(key/value) client_ip è mappato a principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | timestamp è mappato a metadata.event_timestamp log_level è mappato a security_result.severity request_id è mappato a security_result.detection_fields.(key/value) client_ip è mappato a principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id error_message è mappato a security_result.description file_path è mappato a target.file.full_path network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip è mappato a principal.ip userid è mappato a principal.user.userid host è mappato a principal.hostname timestamp è mappato a metadata.event_timestamp Il metodo è mappato a network.http.method La risorsa è mappata a principal.resource.name client_protocol è mappato a network.application_protocol result_status è mappato a network.http.response_code La dimensione dell'oggetto viene mappata a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host è mappato a target.hostname target_port è mappato a target.port client_ip è mappato a principal.ip userid è mappato a principal.user.userid host è mappato a principal.hostname timestamp è mappato a metadata.event_timestamp Il metodo è mappato a network.http.method La risorsa è mappata a principal.resource.name result_status è mappato a network.http.response_code La dimensione dell'oggetto viene mappata a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" network.application_protocol è impostato su "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | Il percorso è mappato a target.url referer_url è mappato a network.http.referral_url network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent è mappato a network.http.user_agent network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | time è mappato a metadata.timestamp ip è mappato a target.ip principal_ip è mappato a principal.ip principal_user_userid è mappato a principal.user.userid metadata_timestamp è mappato a timestamp http_method è mappato a network.http.method resource_name è mappato a principal.resource.name Il protocollo è mappato a network.application_protocol = (HTTP) response_code è mappato a network.http.response_code received_bytes è mappato a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 è mappato a "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "Impossibile eseguire l'operazione bind() su ({target_ip}|[{target_ip}]):{target_port} ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id è mappato a principal.process.pid La gravità è mappata a security_result.severity (debug è mappato a UNKNOWN_SEVERITY, info è mappato a INFORMATIONAL, notice è mappato a LOW, warn è mappato a MEDIUM, error è mappato a ERROR, crit è mappato a CRITICAL, alert è mappato a HIGH) target_file_full_path è mappato a target.file.full_path principal_ip è mappato a principal.ip target_hostname è mappato a target.hostname http_method è mappato a network.http.method resource_name è mappato a principal.resource.name protocol è mappato a "TCP" target_ip è mappato a target.ip target_port è mappato a target.port security_description + security_result_description_2 è mappato a security_result.description pid è mappato a principal.process.parent_process.pid network.application_protocol è impostato su "HTTP" timestamp è mappato a %{year}/%{day}/%{month} %{time} target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol sia impostato su "TCP" network.direction è impostato su "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Controllo dei comandi obbligatori non riuscito | [<message_text>]{security_description} | STATUS_UPDATE | time è mappato a metadata.timestamp securtiy_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Verifica della presenza del file "/dev/.oz/.nap/rkit/terror" [Non trovato ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description è mappato a metadata.description file_path è mappato a target.file.full_path security_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| var/log/rkhunter.log | ossec: dimensioni del file ridotte (inode rimasto): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | time è mappato a metadata.timestamp metadata_description è mappato a metadata.description file_path è mappato a target.file.full_path principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter" |
| /var/log/kern.log | 7 lug 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: origine marziana 1.20.32.39 da 192.0.2.1, sul dispositivo as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" target_ip è mappato a "target.ip" principal_ip è mappato a "principal.ip" target_user_userid è mappato a "target.user.userid" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | 25 ott 10:10:51 kernel localhost: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" metadata_description è mappato a "metadata.description" file_path è mappato a "principal.process.file" pid è mappato a "principal.process.pid" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | 28 apr 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registrazione con nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" principal_asset_hardware_cpu_model è mappato a "principal.asset.hardware.cpu_model" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" cpu_model è mappato a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 gen 13:51:46 winevt env[29194]: [29/Gen/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid http_method è mappato a network.http.method response_code è mappato a network.http.response_code la risorsa è mappata a target.url target_ip è mappato a target.ip received_bytes è mappato a network.received_bytes metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid log_level è mappato a security_result.severity Il messaggio è mappato a metadata.description command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" target_ip è mappato a target.ip |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Nuova connessione da 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid log_level è mappato a security_result.severity description è mappato a security_result.description command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | Jan 29 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid log_level è mappato a security_result.severity description + reason è mappato a security_result.description command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | 2 maggio 06:25:01 localhost apachectl[64942]: AH00558: apache2: impossibile determinare in modo affidabile il nome di dominio completo del server, utilizzando ::1. Imposta la direttiva "ServerName" a livello globale per eliminare questo messaggio | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid Il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line |
| /var/log/syslog.log | 2 mag 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 byte) ridotti | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid Il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line |
| /var/log/syslog.log | 3 maggio 10:14:37 localhost rsyslogd: l'ID utente di rsyslogd è stato modificato in 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time è mappato a metadata.collected_timestamp Il nome host è mappato a principal.hostname Il messaggio è mappato a metadata.description user_id è mappato a principal.user.userid command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| /var/log/syslog.log | 5 mag 10:36:48 localhost systemd[1]: Avvio del servizio di logging di sistema… | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time è mappato a metadata.event_timestamp Il nome host è mappato a principal.hostname pid è mappato a principal.process.pid Il messaggio è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid resource_name è mappato a target.resource.name metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/mail.log | 7 apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - L'accesso alla chiave di configurazione "[filterNames]" tramite la notazione a punti è deprecato e verrà rimosso in una release futura. Utilizza invece "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, in {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line è mappato a "target.process.command_line" file_path è mappato a "target.process.file.full_path" timestamp è mappato a "metadata.event_timestamp" La gravità è mappata a "security_result.severity" summary è mappato a "security_result.summary" security_description è mappato a "security_result.description" metadata.product_name è impostato su "OSSEC" metadata.vendor_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 27 21:03:03 Ubuntu18 systemd-logind[836]: Rimozione della sessione 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato a "target.hostname", altrimenti viene mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, il pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid". security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". "principal.platform" è mappato a "LINUX" Se(sessione_rimuovere) event_type è impostato su USER_LOGOUT extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 28 11:33:24 Ubuntu18 systemd-logind[836]: Nuova sessione 3205 dell'utente root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato a "target.hostname", altrimenti viene mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, il pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid". security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". "principal.platform" è mappato a "LINUX" "network.application_protocol" è mappato a "SSH" Se(new_session) event_type è impostato su USER_LOGIN extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Password accettata per root da 10.0.1.1 porta 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato a "target.hostname", altrimenti viene mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, il pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid". security_description è mappato a "security_result.description" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". principal_ip è mappato a "principal.ip" principal_port è mappato a "principal.port" security_result_detection_fields_ssh_kv è mappato a "security_result.detection_fields.key/value" security_result_detection_fields_kv è mappato a "security_result.detection_fields.key/value" "principal.platform" è impostato su "LINUX" "network.application_protocol" è impostato su "SSH" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | timestamp è mappato a "metadata.timestamp" Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato a "target.hostname", altrimenti viene mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, il pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid". security_description è mappato a "security_result.description" principal_user_uuserid è mappato a "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv è mappato a "principal.user.attribute.labels.key/value" principal_ruser_userid è mappato a "principal.user.attribute.labels.key/value" target_ip è mappato a "target.ip" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid" "principal.platform" è impostato su "LINUX" "network.application_protocol" è impostato su "SSH" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Feb 24 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp è mappato a metadata.timestamp principal_hostname è mappato a principal.hostname principal_application è mappato a principal.application pid è mappato a principal.process.pid principal_user_userid è mappato a target.user.userid security_description è mappato a "security_result.description" principal_process_command_line_1 è mappato a "principal.process.command_line" principal_process_command_line_2 è mappato a "principal.process.command_line" principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" è impostato su "LINUX" |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp è mappato a metadata.timestamp Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato a "target.hostname", altrimenti viene mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, il pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid". security_description è mappato a "security_result.description" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" è impostato su "LINUX" "network.application_protocol" è impostato su "SSH" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | Apr 26 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | timestamp è mappato a metadata.timestamp Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato a "target.hostname", altrimenti viene mappato a "principal.hostname". Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application". Se metadata.event_type è USER_LOGOUT, il pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid". security_description è mappato a "security_result.description" Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid". principal_user_attribute_labels_uid_kv è mappato a principal.user.attribute.labels.key/value "principal.platform" è impostato su "LINUX" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| /var/log/auth.log | 24 mag 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp è mappato a metadata.timestamp principal_hostname è mappato a principal.hostname principal_application è mappato a principal.application pid è mappato a principal.process.pid security_result_description è mappato a security_result_description "principal.platform" è impostato su "LINUX" metadata.vendor_name è impostato su OSSEC metadata.product_name è impostato su OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: eliminazione della cache e ricostituzione con il numero di versione 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | timestamp è mappato a "metadata.timestamp" pid è mappato a "principal.process.pid" principal_user_attribute_labels_kv è mappato a "principal.user.attribute.labels" principal_group_attribute_labels_kv è mappato a "principal.group.attribute.labels" principal_user_userid è mappato a "principal.user.userid" principal_group_product_object_id è mappato a "principal.group.product_object_id" security_description è mappato a "security_result.description" metadata_description è mappato a "metadata.description" metadata.product_name è impostato su "OSSEC" "metadata.vendor_name" è impostato su "OSSEC" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name è impostato su "OSSEC" metadata.vendor_name" sia impostato su "OSSEC" user_id è mappato a principal.user.userid desc è mappato a metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity local_ip è mappato a principal.ip target_ip è mappato a target.ip target_hostname è mappato a principal.hostname la porta è mappata a target.port user è mappato a principal.user.user_display_name metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name sia impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity msg è mappato a security_result.description metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name sia impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
il messaggio è mappato a <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name sia impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description user è mappato a principal.user.user_display_name ip è mappato a principal.ip metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name sia impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity il messaggio è mappato a security_result.description summary è mappato a security_result.summary user_name è mappato a principal.user.user_display_name cli è mappato a principal.process.command_line lo stato è mappato a principal.user.user_authentication_status metadata.vendor_name sia impostato su "OpenVPN" metadata.product_name sia impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType nel foglio corrente Scheda di mappatura EventType del log di controllo | audit_log_type è mappato a metadata.product_event_type metadata_ingested_timestamp è mappato a "metadata.event_timestamp" metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.plateform è impostato su "LINUX" i dati sono mappati alla coppia chiave-valore > mappatura UDM nella scheda audit.log del foglio corrente |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Avvio della scansione di syscheck | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoraggio dell'output completo del comando(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity command_line è mappato a target.process.command_line metadata_description è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: coda "{resource}"<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description La risorsa è mappata a target.resource.name metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analisi del file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata_description è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata.vendor_name è impostato su OSSEC metadata.product_name è impostato su OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Lettura del file delle chiavi di autenticazione. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata_description è mappato a metadata.description error_code è mappato a security_result.summary error_metadata_description è mappato a security_result.summary metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description la porta è mappata a target.port metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Lettura del file delle regole: "ms-se_rules.xml" | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity metadata_description è mappato a metadata.description file_path è mappato a target.file.full_path metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application è mappato a target.application pid è mappato a target.process.pid La gravità è mappata a security_result.severity file_path è mappato a target.file.full_path metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" |
| Processo ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | il protocollo è mappato a network.ip_protocol pid è mappato a principal.process.pid metadata.description è impostato su Nome programma: %{process_name} metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
| syscheck | File "/usr/bin/fwts" modificato | File "{file_path}" {description} | FILE_MODIFICATION | description è mappato a metadata.description file_path è mappato a target.file.full_path metadata.vendor_name è impostato su "OSSEC" metadata.product_name è impostato su "OSSEC" principal.platform è impostato su "LINUX" |
Controllo
Campi degli audit log ai campi UDM
La tabella seguente elenca i campi del log del tipo di log di controllo e i relativi campi UDM.
| Campo log | Campo UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| dati | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| famiglia | network.ip_protocol è impostato su "IP6IN4" se "ip_protocol" == 2, altrimenti è impostato su "UNKNOWN_IP_PROTOCOL" |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nome host | target.hostname |
| icmptype | network.ip_protocol è impostato su "ICMP" |
| ID | Se [audit_log_type] == "ADD_USER", target.user.userid viene impostato su "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id è impostato su "%{id}" altrimenti target.user.attribute.labels.key/value è impostato su id |
| inode | target.resource.product_object_id |
| chiave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| modalità | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| percorso | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol è impostato su "IP6IN4"
else network.ip_protocol is set to "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| risultato | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| operazione riuscita | Se success=='yes', securtiy_result.summary viene impostato su "system call was successful"
else securtiy_result.summary is set to 'systemcall was failed' |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminale | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Se [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid è impostato su principal.user.userid
altrimenti l'uid viene impostato su target.user.userid |
| vm | target.resource.name |
Tipi di log di controllo per tipo di evento UDM
Nella tabella seguente sono elencati i tipi di log di controllo e i relativi tipi di eventi UDM.
| Tipo di log di controllo | Tipo di evento UDM | Descrizione |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Si attiva quando viene aggiunto un gruppo di spazi utente. |
| ADD_USER | USER_CREATION | Si attiva quando viene aggiunto un account utente nello spazio utente. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Si attiva quando un processo termina in modo anomalo (con un segnale che potrebbe causare un core dump, se abilitato). |
| AVC | GENERIC_EVENT | Attivato per registrare un controllo delle autorizzazioni SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Viene attivata quando la configurazione del sistema di controllo viene modificata. |
| CRED_ACQ | USER_LOGIN | Si attiva quando un utente acquisisce le credenziali dello spazio utente. |
| CRED_DISP | USER_LOGOUT | Si attiva quando un utente elimina le credenziali dello spazio utente. |
| CRED_REFR | USER_LOGIN | Si attiva quando un utente aggiorna le proprie credenziali dello spazio utente. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Viene attivato per registrare l'identificatore della chiave crittografica utilizzata per scopi crittografici. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Viene attivato per registrare i parametri impostati durante l'instaurazione di una sessione TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Attivato per registrare la directory di lavoro corrente. |
| DAEMON_ABORT | PROCESS_TERMINATION | Viene attivato quando un daemon viene interrotto a causa di un errore. |
| DAEMON_END | PROCESS_TERMINATION | Si attiva quando un demone viene interrotto correttamente. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Viene attivato quando il daemon auditd riprende la registrazione. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Viene attivato quando il daemon auditd esegue la rotazione dei file di log di controllo. |
| DAEMON_START | PROCESS_LAUNCH | Si attiva quando viene avviato il daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Si attiva quando un gruppo dello spazio utente viene eliminato |
| In attesa | USER_DELETION | Si attiva quando un utente dello spazio utente viene eliminato |
| EXECVE | PROCESS_LAUNCH | Viene attivato per registrare gli argomenti della chiamata di sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Viene attivato quando un valore booleano SELinux viene modificato. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Viene attivato per registrare informazioni su un evento IPSec, quando viene rilevato o quando la configurazione IPSec cambia. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Viene attivato quando viene caricato un file di criteri SELinux. |
| MAC_STATUS | GENERIC_EVENT | Viene attivata quando la modalità SELinux (enforcing, permissive, off) viene modificata. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Si attiva quando viene aggiunta un'etichetta statica durante l'utilizzo delle funzionalità di etichettatura dei pacchetti del kernel fornite da NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Viene attivato quando vengono rilevate modifiche alla catena Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Viene attivato per registrare informazioni su un processo a cui viene inviato un indicatore. |
| PATH | FILE_OPEN/GENERIC_EVENT | Viene attivato per registrare le informazioni sul percorso del nome file. |
| SELINUX_ERR | GENERIC_EVENT | Viene attivato quando viene rilevato un errore interno di SELinux. |
| SERVICE_START | SERVICE_START | Si attiva quando viene avviato un servizio. |
| SERVICE_STOP | SERVICE_STOP | Si attiva quando un servizio viene interrotto. |
| SYSCALL | GENERIC_EVENT | Viene attivato per registrare una chiamata di sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Si attiva quando il sistema si avvia. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Viene attivato quando il livello di esecuzione del sistema viene modificato. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Si attiva quando il sistema viene arrestato. |
| USER_ACCT | SETTING_MODIFICATION | Si attiva quando un account utente dello spazio utente viene modificato. |
| USER_AUTH | USER_LOGIN | Si attiva quando viene rilevato un tentativo di autenticazione nello spazio utente. |
| USER_AVC | USER_UNCATEGORIZED | Si attiva quando viene generato un messaggio AVC nello spazio utente. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando un attributo dell'account utente viene modificato. |
| USER_CMD | USER_COMMUNICATION | Si attiva quando viene eseguito un comando shell nello spazio utente. |
| USER_END | USER_LOGOUT | Si attiva quando una sessione nello spazio utente viene terminata. |
| USER_ERR | USER_UNCATEGORIZED | Si attiva quando viene rilevato un errore dello stato dell'account utente. |
| USER_LOGIN | USER_LOGIN | Si attiva quando un utente esegue l'accesso. |
| USER_LOGOUT | USER_LOGOUT | Si attiva quando un utente esce. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Si attiva quando un daemon nello spazio utente carica un criterio SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Viene attivato per registrare i dati di gestione dello spazio utente. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Si attiva quando il ruolo SELinux di un utente viene modificato. |
| USER_START | USER_LOGIN | Si attiva quando viene avviata una sessione nello spazio utente. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Si attiva quando viene rilevata una modifica alla configurazione di sistema nello spazio utente. |
| VIRT_CONTROL | STATUS_UPDATE | Si attiva quando una macchina virtuale viene avviata, messa in pausa o interrotta. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Viene attivato per registrare l'associazione di un'etichetta a una macchina virtuale. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Viene attivato per registrare l'assegnazione delle risorse di una macchina virtuale. |
Posta
Campi del log della posta ai campi UDM
Nella tabella seguente sono elencati i campi del log del tipo di log email e i relativi campi UDM.
| Campo log | Campo UDM |
|---|---|
| Classe | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Da | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Inoltro | intermediary.hostname
intermediary.ip |
| Dimensioni | network.received_bytes |
| Stat | security_result.summary |
| a | network.email.to |
Tipi di log della posta al tipo di evento UDM
La tabella seguente elenca i tipi di log della posta e i relativi tipi di eventi UDM.
| Tipo di log della posta | Tipo di evento UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| ritiro | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| locale | EMAIL_UNCATEGORIZED |