Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Fluentd

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log Fluentd configurando Fluentd e un forwarder Google Security Operations. Questo documento elenca anche i tipi di log supportati e la versione di Fluentd supportata.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Panoramica

Il seguente diagramma dell'architettura di deployment mostra come Fluentd viene installato sul server di inoltro e sul server di aggregazione per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa.

Architettura di deployment

Il diagramma dell'architettura mostra i seguenti componenti:

Sistema Linux. Il sistema Linux da monitorare. Il sistema Linux è costituito dai file da monitorare e dal server di inoltro Fluentd.
Sistema Microsoft Windows. Il sistema Microsoft Windows da monitorare in cui è installato il server di inoltro Fluentd.
Fluentd forwarder. L'inoltro Fluentd raccoglie informazioni dal sistema Microsoft Windows o Linux e le inoltra all'aggregatore Fluentd.
Aggregatore Fluentd. L'aggregatore Fluentd riceve i log dal forwarder Fluentd e li inoltra al forwarder Google Security Operations.
Agente Bindplane. L'agente Bindplane recupera i log da Zscaler ZPA e li invia a Google SecOps.
Google Security Operations forwarder. Il forwarder Google Security Operations è un componente software leggero, distribuito nella rete del cliente, che supporta syslog. Il programma di inoltro di Google Security Operations inoltra i log a Google Security Operations.
Google Security Operations. Google Security Operations conserva e analizza i log dell'aggregatore Fluentd.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione FLUENTD.

Prima di iniziare

Assicurati che il programma di inoltro Fluentd sia installato sui sistemi Microsoft Windows o Linux che intendi monitorare. Per saperne di più sull'installazione del programma di inoltro Fluentd, consulta la sezione Installazione di Fluentd.
Utilizza una versione di Fluentd supportata dal parser di Google Security Operations. Il parser di Google Security Operations supporta Fluentd versione 1.0.
Assicurati che l'aggregatore Fluentd sia installato e configurato sul server Linux centrale.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

Verifica i tipi di log supportati dal parser di Google Security Operations. La tabella seguente elenca i prodotti e i percorsi dei file di log supportati dal parser Google Security Operations:

Sistema operativo	Prodotto	Percorso del file di log
Microsoft Windows	Microsoft Windows	Log eventi
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	rkhunter	/var/log/rkhunter.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	rundeck	/var/log/rundeck/service.log
Linux	Samba	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

Configura l'agente di inoltro e l'aggregatore Fluentd e l'agente di inoltro Google Security Operations

Per monitorare i log generati dai sistemi Linux, crea un file td-agent.conf per specificare la configurazione del monitoraggio dei log per il forwarder Fluentd. Ecco un esempio di file di configurazione per il forwarder Fluentd sul sistema Linux:

<source>
@type tail
path /var/log/nginx/access.log
pos_file /var/log/td-agent/nginx-access.log.pos
tag mytag.nginx.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/nginx/error.log
pos_file /var/log/td-agent/nginx-error.log.pos
tag mytag.nginx.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/access.log
pos_file /var/log/td-agent/apache-access.log.pos
tag mytag.apache.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/error.log
pos_file /var/log/td-agent/apache-error.log.pos
tag mytag.apache.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/audit/audit.log
pos_file /var/log/td-agent/audit.log.pos
tag mytag.audit
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/syslog/syslog.log
pos_file /var/log/td-agent/syslog.log.pos
tag mytag.syslog
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/other_vhosts_access.log
pos_file /var/log/td-agent/vhost.log.pos
tag mytag.apache.other_vhosts_access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/novnc-server-access.log
pos_file /var/log/td-agent/novnc.log.pos
tag mytag.apache.novnc-server-access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/openvpnas.log
pos_file /var/log/td-agent/openvpnas.log.pos
tag mytag.openvpnas
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/auth.log
pos_file /var/log/td-agent/auth.log.pos
tag mytag.auth
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/kern.log
pos_file /var/log/td-agent/kern.log.pos
tag mytag.kern
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rundeck/service.log
pos_file /var/log/td-agent/rundeck.log.pos
tag mytag.rundeck
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/mail.log
pos_file /var/log/td-agent/mail.log.pos
tag mytag.mail
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rkhunter.log
pos_file /var/log/td-agent/rkhunter.log.pos
tag mytag.rkhunter
<parse>
@type none
</parse>
</source>

<source>
@type tail
Path /var/log/samba/log.winbindd
pos_file /var/log/td-agent/winbindd.log.pos
tag mytag.winbindd
<parse>
@type none
</parse>
</source>

<filter  mytag.**>
@type record_transformer
<record>
forwarder_hostname "#{Socket.gethostname}"
</record>
</filter>

<filter  mytag.nginx.access.**>
@type record_transformer
<record>
path "/var/log/nginx/access.log"
</record>
</filter>

<filter  mytag.nginx.error.**>
@type record_transformer
<record>
path "/var/log/nginx/error.log"
</record>
</filter>

<filter  mytag.apache.access.**>
@type record_transformer
<record>
path "/var/log/apache2/access.log"
</record>
</filter>

<filter  mytag.apache.error.**>
@type record_transformer
<record>
path "/var/log/apache2/error.log"
</record>
</filter>

<filter  mytag.audit.**>
@type record_transformer
<record>
path "/var/log/audit/audit.log"
</record>
</filter>

<filter  mytag.syslog.**>
@type record_transformer
<record>
path "/var/log/syslog/syslog.log"
</record>
</filter>

<filter  mytag.apache.other_vhosts_access.**>
@type record_transformer
<record>
path "/var/log/apache2/other_vhosts_access.log"
</record>
</filter>

<filter  mytag.apache.novnc-server-access.**>
@type record_transformer
<record>
path "/var/log/apache2/novnc-server-access.log"
</record>
</filter>

<filter mytag.openvpnas.**>
@type record_transformer
<record>
path "/var/log/openvpnas.log"
</record>
</filter>

<filter mytag.auth.**>
@type record_transformer
<record>
path "/var/log/auth.log"
</record>
</filter>

<filter mytag.kern.**>
@type record_transformer
<record>
path "/var/log/kern.log"
</record>
</filter>

<filter mytag.rundeck.**>
@type record_transformer
<record>
path "/var/log/rundeck/service.log"
</record>
</filter>

<filter mytag.mail.**>
@type record_transformer
<record>
path "/var/log/mail.log"
</record>
</filter>

<filter mytag.rkhunter.**>
@type record_transformer
<record>
path "/var/log/rkhunter.log"
</record>
</filter>

<filter mytag.winbindd.**>
@type record_transformer
<record>
path "/var/log/samba/log.winbindd"
</record>
</filter>

<match mytag.**>
@type forward
# primary host
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
</server>
</match>

Per monitorare i log generati dai sistemi Microsoft Windows, crea un file td-agent.conf per specificare la configurazione di monitoraggio dei log per l'inoltro Fluentd. Ecco un esempio di file di configurazione per l'agente di inoltro Fluentd sul sistema Microsoft Windows:

<source>
@type windows_eventlog
@id windows_eventlog
channels application,security,system
read_existing_events true
read_interval 2
tag windows.raw
render_as_xml true
<storage>
@type local
persistent true
path E:\windows.pos
</storage>
</source>
<match windowslog>
@type forward
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
username <AGGREGATOR_USERNAME>
password <AGGREGATOR_PASSWORD>
</server>
</match>

Per inoltrare i log dall'aggregatore Fluentd al programma di inoltro Google Security Operations, crea un file di configurazione nel seguente formato:

<source>
@type forward
port <AGGREGATOR_PORT>
</source>

## Forwarding
<match mytag.**>
@id output_system_forward
@type forward
# IP and port of the forwarder
<server>
 host <CHRONICLE_FORWARDER_HOSTNAME>
 port <CHRONICLE_FORWARDER_PORT>
</server>
</match>

Configura il forwarder Google Security Operations per inviare i log a Google Security Operations. Per maggiori informazioni, vedi Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione dell'agente di inoltro di Google Security Operations:
```
common:
  enabled: true
  data_type: FLUENTD
  batch_n_seconds: 10
  batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
connection_timeout_sec: 60
```

Inoltrare i log a Google SecOps utilizzando l'agente Bindplane

Installa e configura una macchina virtuale Linux.
Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per saperne di più su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Formati di log Fluentd supportati

Il parser Fluentd supporta i log in formato SYSLOG+JSON.

Log di esempio Fluentd supportati

SYSLOG + JSON

"2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"

Riferimento alla mappatura dei campi

Questa sezione spiega come il parser applica i pattern grok per i sistemi Linux e Microsoft Windows e come mappa i campi dei log Fluentd ai campi del modello UDM (Unified Data Model) di Google Security Operations per ogni tipo di log.

Per informazioni sul mapping dei riferimenti dei campi comuni, vedi Campi comuni.

Per informazioni di riferimento su percorsi dei log, pattern grok per log di esempio, tipi di eventi e campi UDM sui sistemi Linux, consulta le seguenti sezioni:

Linux
Controlli
Tipo di evento di audit log
Posta
Tipo di evento dei log di posta

Per informazioni sugli eventi Microsoft Windows supportati e sui campi UDM corrispondenti, vedi Dati degli eventi Microsoft Windows.

Campi comuni

La tabella seguente elenca i campi di log comuni e i campi UDM corrispondenti.

Campo log comune	Campo UDM
collected_time	metadata.collected_timestamp
inner_message.message	inner_message
inner_message.forwarder_hostname	target.hostname o principal.hostname
inner_message.path	event_source

Sistema Linux

La tabella seguente elenca i percorsi dei log per il sistema Linux, il pattern grok per i log di esempio, il tipo di evento e i mapping UDM:

Percorso del log	Log di esempio	Pattern Grok	Tipo di evento	Mappatura UDM
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato su principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection	[{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}\|)]{error_message}	NETWORK_UNCATEGORIZED	timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid error_message è mappato a security_result.description network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2'	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato su principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target.platform è impostato su "LINUX" referer_url è mappato a network.http.referral_url
/var/log/apache2/error.log	[Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http://	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?"	NETWORK_HTTP	timestamp è mappato a metadata.event_timestamp log_module è mappato a target.resource.name log_level è mappato a security_result.severity pid è mappato a target.process.parent_process.pid tid è mappato a target.process.pid client_ip è mappato su principal.ip client_port è mappato a principal.port error_message è mappato a security_result.description target_ip è mappato su target.ip referer_url è mappato a network.http.referral_url network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	timestamp è mappato a metadata.event_timestamp client_ip è mappato su principal.ip client_port è mappato a principal.port connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	timestamp è mappato a metadata.event_timestamp request_id è mappato a security_result.detection_fields.(key/value) client_ip è mappato su principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	timestamp è mappato a metadata.event_timestamp log_level è mappato a security_result.severity request_id è mappato a security_result.detection_fields.(key/value) client_ip è mappato su principal.ip client_port è mappato a principal.port pid è mappato a target.process.parent_process.pid connection_id è mappato a network.session_id error_message è mappato a security_result.description file_path è mappato a target.file.full_path network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/access.log	192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36"	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)?	NETWORK_HTTP	client_ip è mappato su principal.ip userid è mappato a principal.user.userid host è mappato a principal.hostname timestamp è mappato a metadata.event_timestamp method è mappato a network.http.method resource è mappato a principal.resource.name client_protocol è mappato a network.application_protocol result_status è mappato a network.http.response_code object_size è mappato a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
var/log/apache2/other_vhosts_access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host è mappato a target.hostname target_port è mappato a target.port client_ip è mappato su principal.ip userid è mappato a principal.user.userid host è mappato a principal.hostname timestamp è mappato a metadata.event_timestamp method è mappato a network.http.method resource è mappato a principal.resource.name result_status è mappato a network.http.response_code object_size è mappato a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" network.application_protocol è impostato su "HTTP"
var/log/apache2/novnc-server-access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	client_ip è mappato su principal.ip userid è mappato a principal.user.userid method è mappato a network.http.method path è mappato a target.url result_status è mappato a network.http.response_code object_size è mappato a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server" network.application_protocol è impostato su "HTTP"
/var/log/apache2/access.log	"http://192.0.2.1/test/first.html" -> /google.com	(<optional_field>{referer_url}?)->(<optional_field>{path}?)	GENERIC_EVENT	path è mappato a target.url referer_url è mappato a network.http.referral_url network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	(<optional_field>{user_agent})	GENERIC_EVENT	user_agent è mappato a network.http.user_agent network.direction è impostato su "OUTBOUND" target.platform è impostato su "LINUX" network.application_protocol è impostato su "HTTP" target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "Apache" metadata.product_name è impostato su "Apache HTTP Server"
var/log/nginx/access.log	192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36"	{principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	time è mappato a metadata.timestamp ip è mappato su target.ip principal_ip è mappato su principal.ip principal_user_userid è mappato a principal.user.userid metadata_timestamp è mappato a timestamp http_method è mappato a network.http.method resource_name è mappato a principal.resource.name protocol is mapped to network.application_protocol = (HTTP) response_code è mappato a network.http.response_code received_bytes è mappato a network.sent_bytes referer_url è mappato a network.http.referral_url user_agent è mappato a network.http.user_agent target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND"
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\"	"{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}" inner_message2 è mappato a "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}\|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}"	NETWORK_HTTP	thread_id è mappato a principal.process.pid severity è mappato a security_result.severity (debug è mappato su UNKNOWN_SEVERITY, info è mappato su INFORMATIONAL, notice è mappato su LOW, warn è mappato su MEDIUM, error è mappato su ERROR, crit è mappato su CRITICAL, alert è mappato su HIGH) target_file_full_path è mappato a target.file.full_path principal_ip è mappato su principal.ip target_hostname è mappato a target.hostname http_method è mappato a network.http.method resource_name è mappato a principal.resource.name protocol è mappato su "TCP" target_ip è mappato su target.ip target_port è mappato a target.port security_description + security_result_description_2 è mappato a security_result.description pid è mappato a principal.process.parent_process.pid network.application_protocol è impostato su "HTTP" timestamp è mappato a {year}/{day}/{month} {time} target.platform è impostato su "LINUX" metadata.vendor_name è impostato su "NGINX" metadata.product_name è impostato su "NGINX" network.ip_protocol è impostato su "TCP" network.direction è impostato su "OUTBOUND"
var/log/rkhunter.log	[14:10:40] Controllo dei comandi obbligatori non riuscito	[<message_text>]{security_description}	AGGIORNAMENTO DELLO STATO	time è mappato a metadata.timestamp security_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter"
var/log/rkhunter.log	[14:09:52] Controllo del file "/dev/.oz/.nap/rkit/terror" [Non trovato ]	[<message_text>] {security_description} {file_path}[\{metadata_description}]	FILE_UNCATEGORIZED	metadata_description è mappato a metadata.description file_path è mappato a target.file.full_path security_description è mappato a security_result.description principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter"
var/log/rkhunter.log	fluentd: File size reduced (inode remained): '/var/log/rkhunter.log'.	(<optional_field><message_text>:){metadata_description}:'{file_path}'	FILE_UNCATEGORIZED	time è mappato a metadata.timestamp metadata_description è mappato a metadata.description file_path è mappato a target.file.full_path principal.platform è impostato su "LINUX" metadata.vendor_name è impostato su "RootKit Hunter" metadata.product_name è impostato su "RootKit Hunter"
/var/log/kern.log	28 apr 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink.	{timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description}	AGGIORNAMENTO DELLO STATO	Il timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX"
/var/log/kern.log	6 luglio 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7)	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	Il timestamp è mappato a "metadata.event_timestamp" principal_hostname è mappato a "principal.hostname" metadata_product_event_type è mappato a "metadata.product_event_type" principal_asset_hardware_cpu_model è mappato a "principal.asset.hardware.cpu_model" metadata_description è mappato a "metadata.description" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" cpu_model è mappato a principal.asset.hardware.cpu_model
/var/log/syslog.log	24 maggio 10:30:42 Ubuntu18 systemd[1]: Started Session 112 of user kajal.	{collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message}	STATUS_UPDATE	collected_time è mappato a metadata.event_timestamp hostname è mappato a principal.hostname pid è mappato a principal.process.pid message is mapped to metadata.description metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line
/var/log/syslog.log	06 luglio 10:14:37 Ubuntu18 rsyslogd: rsyslogd's userid changed to 102	{collected_timestamp}{hostname}{command_line}:{message}to{user_id}	STATUS_UPDATE	collected_time è mappato a metadata.collected_timestamp hostname è mappato a principal.hostname message is mapped to metadata.description user_id è mappato a principal.user.userid command_line è mappato a principal.process.command_line metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX"
/var/log/syslog.log	06 lug 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service...	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	collected_time è mappato a metadata.event_timestamp hostname è mappato a principal.hostname pid è mappato a principal.process.pid message is mapped to metadata.description metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD" principal.platform è impostato su "LINUX" command_line è mappato a principal.process.command_line
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity local_ip è mappato su principal.ip target_ip è mappato su target.ip target_hostname è mappato a principal.hostname port è mappato a target.port user è mappato a principal.user.user_display_name metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX"
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	AGGIORNAMENTO DELLO STATO	timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity msg è mappato a security_result.description metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX"
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'\|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'\|" il messaggio è mappato a (net_addr_v4_add\|net_route_v4_best_gw):{target_ip}/{target_port}	AGGIORNAMENTO DELLO STATO	principal.platform è impostato su "LINUX" target_ip è mappato su target.ip target_port è mappato a target.port severity è mappato a security_result.severity timestamp è mappato a metadata.timestamp metadata.vendor_name è impostato su OpenVPN metadata.product_name è impostato su OpenVPN Access Server
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text>	AGGIORNAMENTO DELLO STATO	timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity metadata.vendor_name è impostato su OpenVPN metadata.product_name è impostato su OpenVPN Access Server principal.platform è impostato su Linux target_ip è mappato su target.ip target_port è mappato a target.port target_hostname è mappato a target.hostname intermediary_ip è mappato su intermediary.ip
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\"	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{user}\/{ip}:{message}(<optional_field>'\|")	AGGIORNAMENTO DELLO STATO	timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity message is mapped to metadata.description user è mappato a target.hostname ip è mappato su target.ip la porta è mappata a target.port metadata.vendor_name è impostato su OpenVPN metadata.product_name è impostato su OpenVPN Access Server principal.platform è impostato su Linux
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752'	{timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	AGGIORNAMENTO DELLO STATO	timestamp è mappato a metadata.timestamp log_level è mappato a security_result.severity message è mappato a security_result.description summary è mappato a security_result.summary user_name è mappato a principal.user.user_display_name cli è mappato a principal.process.command_line status is mapped to principal.user.user_authentication_status metadata.vendor_name è impostato su "OpenVPN" metadata.product_name è impostato su "OpenVPN Access Server" principal.platform è impostato su "LINUX"
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Usa invece "config.getProperty(key, targetClass)".	[{timestamp}]{severity}{summary}\-{security_description} , in {command_line}${file_path}:<message_text>$	AGGIORNAMENTO DELLO STATO	command_line è mappato a "target.process.command_line" file_path è mappato a "target.process.file.full_path" Il timestamp è mappato a "metadata.event_timestamp" severity è mappato a "security_result.severity" summary è mappato a "security_result.summary" security_description è mappato a "security_result.description" metadata.product_name è impostato su "FLUENTD" metadata.vendor_name è impostato su "FLUENTD"
/var/log/auth.log	4 luglio 19:26:19 Ubuntu18 systemd-logind[982]: Removed session 153.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGOUT	il timestamp è mappato a "metadata.timestamp" principal_hostname è mappato su target.hostname se il valore è "USER_LOGOUT", altrimenti è mappato su principal.hostname principal_application viene mappato a target.application se il valore è "USER_LOGOUT", altrimenti viene mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. "principal.platform" è impostato su "LINUX" Se security_description dell'evento è Sessione rimossa, event_type è impostato su USER_LOGOUT. extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/auth.log	27 giugno 11:07:17 Ubuntu18 systemd-logind[804]: New session 564 of user root.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGIN	il timestamp è mappato a "metadata.timestamp" principal_hostname è mappato su target.hostname se il valore è "USER_LOGOUT", altrimenti è mappato su principal.hostname principal_application viene mappato a target.application se il valore è "USER_LOGOUT", altrimenti viene mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a "security_result.description" network_session_id è mappato a "network.session_id" principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. "principal.platform" è impostato su "LINUX" "network.application_protocol" è mappato su "SSH" if(new_session) event_type is set to USER_LOGIN extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/auth.log	Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})?	USER_LOGIN	il timestamp è mappato a "metadata.timestamp" principal_hostname è mappato su target.hostname se il valore è "USER_LOGOUT", altrimenti è mappato su principal.hostname principal_application viene mappato a target.application se il valore è "USER_LOGOUT", altrimenti viene mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a "security_result.description" principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. principal_ip è mappato a "principal.ip" principal_port è mappato a "principal.port" security_result_detection_fields_ssh_kv è mappato a "security_result.detection_fields.key/value" security_result_detection_fields_kv è mappato a "security_result.detection_fields.key/value" "principal.platform" è impostato su "LINUX" "network.application_protocol" è impostato su "SSH" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/auth.log	28 apr 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2}	AGGIORNAMENTO DELLO STATO	timestamp è mappato a metadata.timestamp principal_hostname è mappato a principal.hostname principal_application è mappato a principal.application pid è mappato a principal.process.pid principal_user_userid è mappato a target.user.userid security_description è mappato a "security_result.description" principal_process_command_line_1 è mappato a "principal.process.command_line" principal_process_command_line_2 è mappato a "principal.process.command_line" principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" è impostato su "LINUX"
/var/log/auth.log	4 luglio 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0)	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGIN	timestamp è mappato a metadata.timestamp principal_hostname è mappato su target.hostname se il valore è "USER_LOGOUT", altrimenti è mappato su principal.hostname principal_application viene mappato a target.application se il valore è "USER_LOGOUT", altrimenti viene mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a "security_result.description" principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value" "principal.platform" è impostato su "LINUX" "network.application_protocol" è impostato su "SSH" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/auth.log	4 luglio 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root	{timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user\|user){principal_user_userid}	USER_LOGOUT	timestamp è mappato a metadata.timestamp principal_hostname è mappato su target.hostname se il valore è "USER_LOGOUT", altrimenti è mappato su principal.hostname principal_application viene mappato a target.application se il valore è "USER_LOGOUT", altrimenti viene mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a "security_result.description" principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. principal_user_attribute_labels_uid_kv è mappato a principal.user.attribute.labels.key/value "principal.platform" è impostato su "LINUX" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/auth.log	30 giugno 11:32:26 Ubuntu18 sshd[29425]: Connection reset by authenticating user root 198.51.100.1 port 52518 [preauth]	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from\|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]\|:<text_message>{security_summary}\|)	USER_LOGOUT	timestamp è mappato a metadata.timestamp principal_hostname è mappato su target.hostname se il valore è "USER_LOGOUT", altrimenti è mappato su principal.hostname principal_application viene mappato a target.application se il valore è "USER_LOGOUT", altrimenti viene mappato a "principal.application" pid viene mappato a target.process.pid se il valore è "USER_LOGOUT", altrimenti viene mappato a principal.process.pid. security_description è mappato a security_result.description security_summary è mappato a security_result.summary principal_user_userid viene mappato a principal.user.userid se il valore è "USER_LOGOUT", altrimenti viene mappato a target.user.userid. target_ip è mappato su target.ip target_port è mappato a target.port" principal.platform" è impostato su "LINUX" metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
var/log/samba/log.winbindd	[2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2	{timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	AGGIORNAMENTO DELLO STATO	il timestamp è mappato a "metadata.timestamp" pid è mappato a "principal.process.pid" principal_user_attribute_labels_kv è mappato a "principal.user.attribute.labels" principal_group_attribute_labels_kv è mappato a "principal.group.attribute.labels" principal_user_userid è mappato a "principal.user.userid" principal_group_product_object_id è mappato a "principal.group.product_object_id" security_description è mappato a "security_result.description" metadata_description è mappato a "metadata.description" metadata.product_name" è impostato su "FLUENTD" metadata.vendor_name" è impostato su "FLUENTD"
var/log/samba/log.winbindd	messaging_dgm_init: bind failed: No space left on device	{user_id}: {desc}	AGGIORNAMENTO DELLO STATO	metadata.product_name" è impostato su "FLUENTD" metadata.vendor_name" è impostato su "FLUENTD" user_id è mappato a principal.user.userid desc è mappato a metadata.description
/var/log/mail.log	16 luglio 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1]	{timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV}	AGGIORNAMENTO DELLO STATO	target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/mail.log	7 luglio 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/mail.log	7 luglio 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01>	{timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}>	AGGIORNAMENTO DELLO STATO	target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid resource_name è mappato a target.resource.name metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/mail.log	7 luglio 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/mail.log	7 luglio 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	AGGIORNAMENTO DELLO STATO	target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"
/var/log/mail.log	7 luglio 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname è mappato a target.hostname application è mappato a target.application pid è mappato a target.process.pid metadata.vendor_name è impostato su "FLUENTD" metadata.product_name è impostato su "FLUENTD"

Controlla

Campi dei log di controllo ai campi UDM

La tabella seguente elenca i campi di log del tipo di log di controllo e i campi UDM corrispondenti.

Campo log	Campo UDM
acct	target.user.user_display_name
addr	principal.ip
arco	about.labels.key/value
auid	target.user.userid
cgroup	principal.process.file.full_path
cmd	target.process.command_line
comm	target.application
cwd	target.file.full_path
dati	about.labels.key/value
devmajor	about.labels.key/value
devminor	about.labels.key/value
egid	target.group.product_object_id
euid	target.user.userid
exe	target.process.file.full_path
exit	target.labels.key/value
famiglia	network.ip_protocol è impostato su "IP6IN4" se "ip_protocol" == 2, altrimenti è impostato su "UNKNOWN_IP_PROTOCOL"
filetype	target.file.mime_type
fsgid	target.group.product_object_id
fsuid	target.user.userid
gid	target.group.product_object_id
nome host	target.hostname
icmptype	network.ip_protocol è impostato su "ICMP"
ID	Se [audit_log_type] == "ADD_USER", target.user.userid è impostato su "%{id}" Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id è impostato su "%{id}" altrimenti target.user.attribute.labels.key/value è impostato su id
inode	target.resource.product_object_id
chiave	security_result.detection_fields.key/value
list	security_result.about.labels.key/value
modalità	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
nome	target.file.full_path
new-disk	target.resource.name
new-mem	target.resource.attribute.labels.key/value
new-vcpu	target.resource.attribute.labels.key/value
new-net	pincipal.mac
new_gid	target.group.product_object_id
oauid	target.user.userid
ocomm	target.process.command_line
opid	target.process.pid
oses	network.session_id
ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
ogid	target.group.product_object_id
ouid	target.user.userid
percorso	target.file.full_path
perm	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
proto	Se [ip_protocol] == 2, network.ip_protocol è impostato su "IP6IN4" altrimenti network.ip_protocol è impostato su "UNKNOWN_IP_PROTOCOL"
res	security_result.summary
result	security_result.summary
saddr	security_result.detection_fields.key/value
sauid	target.user.attribute.labels.key/value
ses	network.session_id
sgid	target.group.product_object_id
sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
operazione riuscita	Se success=='yes', security_result.summary è impostato su "system call was successful" altrimenti security_result.summary è impostato su "systemcall was failed"
suid	target.user.userid
syscall	about.labels.key/value
terminale	target.labels.key/value
tty	target.labels.key/value
uid	Se [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid è impostato su principal.user.userid altrimenti uid è impostato su target.user.userid
vm	target.resource.name

Tipi di log di controllo per il tipo di evento UDM

La tabella seguente elenca i tipi di log di controllo e i tipi di eventi UDM corrispondenti.

Tipo di audit log	Tipo di evento UDM	Descrizione
ADD_GROUP	GROUP_CREATION	Si attiva quando viene aggiunto un gruppo di spazi utente.
ADD_USER	USER_CREATION	Si attiva quando viene aggiunto un account utente dello spazio utente.
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	Attivato quando un processo termina in modo anomalo (con un segnale che potrebbe causare un dump del core, se abilitato).
AVC	GENERIC_EVENT	Attivato per registrare un controllo delle autorizzazioni SELinux.
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	Attivato quando viene modificata la configurazione del sistema di controllo.
CRED_ACQ	USER_LOGIN	Si attiva quando un utente acquisisce le credenziali dello spazio utente.
CRED_DISP	USER_LOGOUT	Si attiva quando un utente elimina le credenziali dello spazio utente.
CRED_REFR	USER_LOGIN	Si attiva quando un utente aggiorna le proprie credenziali dello spazio utente.
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	Attivato per registrare l'identificatore della chiave di crittografia utilizzata a fini crittografici.
CRYPTO_SESSION	PROCESS_TERMINATION	Attivato per registrare i parametri impostati durante la creazione di una sessione TLS.
CWD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Attivato per registrare la directory di lavoro corrente.
DAEMON_ABORT	PROCESS_TERMINATION	Attivato quando un daemon viene arrestato a causa di un errore.
DAEMON_END	PROCESS_TERMINATION	Attivato quando un daemon viene arrestato correttamente.
DAEMON_RESUME	PROCESS_UNCATEGORIZED	Attivato quando il daemon auditd riprende la registrazione.
DAEMON_ROTATE	PROCESS_UNCATEGORIZED	Attivato quando il daemon auditd ruota i file di log di controllo.
DAEMON_START	PROCESS_LAUNCH	Si attiva all'avvio del daemon auditd.
DEL_GROUP	GROUP_DELETION	Si attiva quando un gruppo dello spazio utente viene eliminato.
In attesa	USER_DELETION	Si attiva quando un utente dello spazio utente viene eliminato.
EXECVE	PROCESS_LAUNCH	Attivato per registrare gli argomenti della chiamata di sistema execve(2).
MAC_CONFIG_CHANGE	GENERIC_EVENT	Attivato quando viene modificato un valore booleano SELinux.
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Attivato per registrare informazioni su un evento IPSec, quando viene rilevato o quando la configurazione IPSec cambia.
MAC_POLICY_LOAD	GENERIC_EVENT	Attivato quando viene caricato un file di policy SELinux.
MAC_STATUS	GENERIC_EVENT	Attivato quando viene modificata la modalità SELinux (applicazione forzata, permissiva, disattivata).
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Si attiva quando viene aggiunta un'etichetta statica durante l'utilizzo delle funzionalità di etichettatura dei pacchetti del kernel fornite da NetLabel.
NETFILTER_CFG	GENERIC_EVENT	Attivato quando vengono rilevate modifiche alla catena Netfilter.
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Attivato per registrare informazioni su un processo a cui viene inviato un segnale.
PATH	FILE_OPEN/GENERIC_EVENT	Attivato per registrare le informazioni sul percorso del nome file.
SELINUX_ERR	GENERIC_EVENT	Attivato quando viene rilevato un errore SELinux interno.
SERVICE_START	SERVICE_START	Si attiva quando viene avviato un servizio.
SERVICE_STOP	SERVICE_STOP	Si attiva quando un servizio viene interrotto.
SYSCALL	GENERIC_EVENT	Attivato per registrare una chiamata di sistema al kernel.
SYSTEM_BOOT	STATUS_STARTUP	Si attiva all'avvio del sistema.
SYSTEM_RUNLEVEL	STATUS_UPDATE	Attivato quando viene modificato il livello di esecuzione del sistema.
SYSTEM_SHUTDOWN	STATUS_SHUTDOWN	Si attiva quando il sistema viene arrestato.
USER_ACCT	SETTING_MODIFICATION	Si attiva quando viene modificato un account utente dello spazio utente.
USER_AUTH	USER_LOGIN	Si attiva quando viene rilevato un tentativo di autenticazione dello spazio utente.
USER_AVC	USER_UNCATEGORIZED	Si attiva quando viene generato un messaggio AVC di uno spazio utente.
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	Si attiva quando viene modificato un attributo dell'account utente.
USER_CMD	USER_COMMUNICATION	Si attiva quando viene eseguito un comando della shell dello spazio utente.
USER_END	USER_LOGOUT	Si attiva quando una sessione nello spazio utente viene terminata.
USER_ERR	USER_UNCATEGORIZED	Si attiva quando viene rilevato un errore nello stato dell'account utente.
USER_LOGIN	USER_LOGIN	Si attiva quando un utente esegue l'accesso.
USER_LOGOUT	USER_LOGOUT	Si attiva quando un utente esegue la disconnessione.
USER_MAC_POLICY_LOAD	RESOURCE_READ	Si attiva quando un daemon dello spazio utente carica un criterio SELinux.
USER_MGMT	USER_UNCATEGORIZED	Attivato per registrare i dati di gestione dello spazio utente.
USER_ROLE_CHANGE	USER_CHANGE_PERMISSIONS	Si attiva quando viene modificato il ruolo SELinux di un utente.
USER_START	USER_LOGIN	Si attiva quando viene avviata una sessione nello spazio utente.
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	Si attiva quando viene rilevata una modifica alla configurazione del sistema di uno spazio utente.
VIRT_CONTROL	STATUS_UPDATE	Si attiva quando una macchina virtuale viene avviata, messa in pausa o arrestata.
VIRT_MACHINE_ID	USER_RESOURCE_ACCESS	Attivato per registrare l'associazione di un'etichetta a una macchina virtuale.
VIRT_RESOURCE	USER_RESOURCE_ACCESS	Attivato per registrare l'assegnazione delle risorse di una macchina virtuale.

Posta

Mappare i campi dei log di posta ai campi UDM

La tabella seguente elenca i campi di log del tipo di log di posta e i campi UDM corrispondenti.

Campo log	Campo UDM
Classe	about.labels.key/value
Ctladdr	principal.user.user_display_name
Da	network.email.from
Msgid	network.email.mail_id
Proto	network.application_protocol
Inoltro	intermediary.hostname intermediary.ip
Dimensioni	network.received_bytes
Stat	security_result.summary
a	network.email.to

Tipi di log di posta al tipo di evento UDM

La tabella seguente elenca i tipi di log di posta e i tipi di eventi UDM corrispondenti.

Tipo di log di posta	Tipo di evento UDM
sendmail	AGGIORNAMENTO DELLO STATO
ritiro	EMAIL_UNCATEGORIZED
cleanup	AGGIORNAMENTO DELLO STATO
qmgr	EMAIL_UNCATEGORIZED
smtp	AGGIORNAMENTO DELLO STATO
locale	EMAIL_UNCATEGORIZED

Passaggi successivi

Importazione dei dati in Google Security Operations

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.