Coletar registros do Fluentd

Compatível com:

Neste documento, descrevemos como coletar registros do Fluentd configurando o Fluentd e um encaminhador do Google Security Operations. Este documento também lista os tipos de registros e a versão do Fluentd compatíveis.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Visão geral

O diagrama de arquitetura de implantação a seguir mostra como o Fluentd é instalado no servidor de encaminhamento e no servidor de agregação para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e ser mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

  • Sistema Linux. O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no servidor encaminhador do Fluentd.

  • Sistema Microsoft Windows. O sistema Microsoft Windows a ser monitorado em que o servidor encaminhador do Fluentd está instalado.

  • Encaminhador do Fluentd. O encaminhador do Fluentd coleta informações do sistema Microsoft Windows ou Linux e as encaminha para o agregador do Fluentd.

  • Agregador do Fluentd. O agregador do Fluentd recebe registros do encaminhador do Fluentd e os encaminha para o encaminhador do Google Security Operations.

  • Agente do Bindplane. O agente do Bindplane busca registros do Zscaler ZPA e os envia para o Google SecOps.

  • Encaminhador do Google Security Operations. O encaminhador do Google Security Operations é um componente de software leve implantado na rede do cliente que oferece suporte ao syslog. O encaminhador do Google Security Operations encaminha os registros para o Google Security Operations.

  • Google Security Operations. O Google Security Operations retém e analisa os registros do agregador Fluentd.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão FLUENTD.

Antes de começar

  • Verifique se o encaminhador do Fluentd está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre a instalação do encaminhador do Fluentd, consulte Instalação do Fluentd.

  • Use uma versão do Fluentd compatível com o analisador do Google Security Operations. O analisador do Google Security Operations é compatível com a versão 1.0 do Fluentd.

  • Verifique se o agregador Fluentd está instalado e configurado no servidor Linux central.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  • Verifique os tipos de registros compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os produtos e os caminhos de arquivos de registros compatíveis com o analisador do Google Security Operations:

    Sistema operacional Produto Caminho do arquivo de registro
    Microsoft Windows Microsoft Windows Logs de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Configurar o encaminhador e o agregador do Fluentd e o encaminhador do Google Security Operations

  1. Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Confira um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Linux:

    <source>
@type tail
path /var/log/nginx/access.log
pos_file /var/log/td-agent/nginx-access.log.pos
tag mytag.nginx.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/nginx/error.log
pos_file /var/log/td-agent/nginx-error.log.pos
tag mytag.nginx.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/access.log
pos_file /var/log/td-agent/apache-access.log.pos
tag mytag.apache.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/error.log
pos_file /var/log/td-agent/apache-error.log.pos
tag mytag.apache.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/audit/audit.log
pos_file /var/log/td-agent/audit.log.pos
tag mytag.audit
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/syslog/syslog.log
pos_file /var/log/td-agent/syslog.log.pos
tag mytag.syslog
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/other_vhosts_access.log
pos_file /var/log/td-agent/vhost.log.pos
tag mytag.apache.other_vhosts_access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/novnc-server-access.log
pos_file /var/log/td-agent/novnc.log.pos
tag mytag.apache.novnc-server-access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/openvpnas.log
pos_file /var/log/td-agent/openvpnas.log.pos
tag mytag.openvpnas
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/auth.log
pos_file /var/log/td-agent/auth.log.pos
tag mytag.auth
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/kern.log
pos_file /var/log/td-agent/kern.log.pos
tag mytag.kern
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rundeck/service.log
pos_file /var/log/td-agent/rundeck.log.pos
tag mytag.rundeck
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/mail.log
pos_file /var/log/td-agent/mail.log.pos
tag mytag.mail
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rkhunter.log
pos_file /var/log/td-agent/rkhunter.log.pos
tag mytag.rkhunter
<parse>
@type none
</parse>
</source>

<source>
@type tail
Path /var/log/samba/log.winbindd
pos_file /var/log/td-agent/winbindd.log.pos
tag mytag.winbindd
<parse>
@type none
</parse>
</source>

<filter  mytag.**>
@type record_transformer
<record>
forwarder_hostname "#{Socket.gethostname}"
</record>
</filter>

<filter  mytag.nginx.access.**>
@type record_transformer
<record>
path "/var/log/nginx/access.log"
</record>
</filter>

<filter  mytag.nginx.error.**>
@type record_transformer
<record>
path "/var/log/nginx/error.log"
</record>
</filter>

<filter  mytag.apache.access.**>
@type record_transformer
<record>
path "/var/log/apache2/access.log"
</record>
</filter>

<filter  mytag.apache.error.**>
@type record_transformer
<record>
path "/var/log/apache2/error.log"
</record>
</filter>

<filter  mytag.audit.**>
@type record_transformer
<record>
path "/var/log/audit/audit.log"
</record>
</filter>

<filter  mytag.syslog.**>
@type record_transformer
<record>
path "/var/log/syslog/syslog.log"
</record>
</filter>

<filter  mytag.apache.other_vhosts_access.**>
@type record_transformer
<record>
path "/var/log/apache2/other_vhosts_access.log"
</record>
</filter>

<filter  mytag.apache.novnc-server-access.**>
@type record_transformer
<record>
path "/var/log/apache2/novnc-server-access.log"
</record>
</filter>

<filter mytag.openvpnas.**>
@type record_transformer
<record>
path "/var/log/openvpnas.log"
</record>
</filter>

<filter mytag.auth.**>
@type record_transformer
<record>
path "/var/log/auth.log"
</record>
</filter>

<filter mytag.kern.**>
@type record_transformer
<record>
path "/var/log/kern.log"
</record>
</filter>

<filter mytag.rundeck.**>
@type record_transformer
<record>
path "/var/log/rundeck/service.log"
</record>
</filter>

<filter mytag.mail.**>
@type record_transformer
<record>
path "/var/log/mail.log"
</record>
</filter>

<filter mytag.rkhunter.**>
@type record_transformer
<record>
path "/var/log/rkhunter.log"
</record>
</filter>

<filter mytag.winbindd.**>
@type record_transformer
<record>
path "/var/log/samba/log.winbindd"
</record>
</filter>

<match mytag.**>
@type forward
# primary host
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
</server>
</match>

  2. Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Confira um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Microsoft Windows:

    <source>
@type windows_eventlog
@id windows_eventlog
channels application,security,system
read_existing_events true
read_interval 2
tag windows.raw
render_as_xml true
<storage>
@type local
persistent true
path E:\windows.pos
</storage>
</source>
<match windowslog>
@type forward
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
username <AGGREGATOR_USERNAME>
password <AGGREGATOR_PASSWORD>
</server>
</match>

  3. Para encaminhar os registros do agregador Fluentd para o encaminhador do Google Security Operations, crie um arquivo de configuração no seguinte formato:

    <source>
@type forward
port <AGGREGATOR_PORT>
</source>

## Forwarding
<match mytag.**>
@id output_system_forward
@type forward
# IP and port of the forwarder
<server>
 host <CHRONICLE_FORWARDER_HOSTNAME>
 port <CHRONICLE_FORWARDER_PORT>
</server>
</match>

  4. Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de encaminhador do Google Security Operations:

    common:
  enabled: true
  data_type: FLUENTD
  batch_n_seconds: 10
  batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
connection_timeout_sec: 60

Encaminhar registros para o Google SecOps usando o agente do Bindplane

  1. Instale e configure uma máquina virtual Linux.
  2. Instale e configure o agente do Bindplane no Linux para encaminhar registros ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.

Formatos de registro do Fluentd compatíveis

O analisador do Fluentd é compatível com registros no formato SYSLOG+JSON.

Registros de amostra do Fluentd compatíveis

  • SYSLOG + JSON

    "2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"

Referência de mapeamento de campos

Nesta seção, explicamos como o analisador aplica padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do Fluentd para campos do modelo de dados unificado (UDM) do Google Security Operations para cada tipo de registro.

Para informações sobre o mapeamento de referência de campos comuns, consulte Campos comuns.

Para informações de referência sobre caminhos de registro, padrões grok para registros de exemplo, tipos de eventos e campos da UDM em sistemas Linux, consulte as seções a seguir:

Para informações sobre eventos compatíveis do Microsoft Windows e os campos correspondentes da UDM, consulte Dados de eventos do Microsoft Windows.

Campos comuns

A tabela a seguir lista os campos de registro comuns e os campos correspondentes da UDM.

Campo de registro comum Campo do UDM
collected_time metadata.collected_timestamp
inner_message.message inner_message
inner_message.forwarder_hostname target.hostname ou principal.hostname
inner_message.path event_source

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos da UDM:

Caminho do registro Exemplo de registro Padrão Grok Tipo de evento Mapeamento da UDM
/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] falha ao fazer a conexão [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

error_message é mapeado para security_result.description

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description

target.platform está definido como "LINUX"

referer_url é mapeado para network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

timestamp é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid

tid é mapeado para target.process.pid

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description

target_ip é mapeado para target.ip

referer_url é mapeado para network.http.referral_url

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sáb 02 de fevereiro 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

timestamp é mapeado para metadata.event_timestamp

log_level é mapeado para security_result.severity

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid

connection_id é mapeado para network.session_id

error_message é mapeado para security_result.description

file_path é mapeado para target.file.full_path

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host é mapeado para principal.hostname

timestamp é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

o recurso é mapeado para principal.resource.name

client_protocol é mapeado para network.application_protocol

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP target_host é mapeado para target.hostname

target_port é mapeado para target.port

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

host é mapeado para principal.hostname

timestamp é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

o recurso é mapeado para principal.resource.name

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

network.application_protocol está definido como "HTTP"

var/log/apache2/novnc-server-access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

client_ip é mapeado para principal.ip

userid é mapeado para principal.user.userid

O método é mapeado para network.http.method

path é mapeado para target.url

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

network.application_protocol está definido como "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

path é mapeado para target.url

referer_url é mapeado para network.http.referral_url

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent é mapeado para network.http.user_agent

network.direction está definido como "OUTBOUND"

target.platform está definido como "LINUX"

network.application_protocol está definido como "HTTP"

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Apache HTTP Server"

var/log/nginx/access.log 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

time é mapeado para metadata.timestamp

ip é mapeado para target.ip

principal_ip é mapeado para principal.ip

principal_user_userid é mapeado para principal.user.userid

metadata_timestamp é mapeado para timestamp

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

protocol é mapeado para network.application_protocol = (HTTP)

response_code é mapeado para network.http.response_code

received_bytes é mapeado para network.sent_bytes

referer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 é mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

NETWORK_HTTP

thread_id é mapeado para principal.process.pid

severity é mapeado para security_result.severity

(debug é mapeado para UNKNOWN_SEVERITY, info é mapeado para INFORMATIONAL, notice é mapeado para LOW, warn é mapeado para MEDIUM, error é mapeado para ERROR, crit é mapeado para CRITICAL, alert é mapeado para HIGH)

target_file_full_path é mapeado para target.file.full_path

principal_ip é mapeado para principal.ip

target_hostname é mapeado para target.hostname

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

protocol é mapeado para "TCP"

target_ip é mapeado para target.ip

target_port é mapeado para target.port

security_description + security_result_description_2 é mapeado para security_result.description

pid é mapeado para principal.process.parent_process.pid

network.application_protocol está definido como "HTTP"

O carimbo de data/hora é mapeado para {year}/{day}/{month} {time}

target.platform está definido como "LINUX"

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definido como "OUTBOUND"

var/log/rkhunter.log [14:10:40] Falha na verificação dos comandos necessários [<message_text>]{security_description} ATUALIZAÇÃO DE STATUS

time é mapeado para metadata.timestamp

security_description é mapeado para security_result.description

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name é definido como "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] [<message_text>] {security_description} {file_path}[\{metadata_description}] FILE_UNCATEGORIZED metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

security_description é mapeado para security_result.description

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name é definido como "RootKit Hunter"

var/log/rkhunter.log fluentd: tamanho do arquivo reduzido (inode permaneceu): "/var/log/rkhunter.log". (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

time é mapeado para metadata.timestamp

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name é definido como "RootKit Hunter"

/var/log/kern.log 28 de abril 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} ATUALIZAÇÃO DE STATUS

timestamp é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

/var/log/kern.log Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE

timestamp é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

cpu_model é mapeado para principal.asset.hardware.cpu_model

/var/log/syslog.log May 24 10:30:42 Ubuntu18 systemd[1]: Started Session 112 of user kajal. {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} STATUS_UPDATE

collected_time é mapeado para metadata.event_timestamp

hostname é mapeado para principal.hostname

pid é mapeado para principal.process.pid

message é mapeado para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log 06 de julho 10:14:37 Ubuntu18 rsyslogd: o userid do rsyslogd foi alterado para 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collected_time é mapeado para metadata.collected_timestamp

hostname é mapeado para principal.hostname

message é mapeado para metadata.description

user_id é mapeado para principal.user.userid

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

/var/log/syslog.log 06 de julho 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time é mapeado para metadata.event_timestamp

hostname é mapeado para principal.hostname

pid é mapeado para principal.process.pid

message é mapeado para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

local_ip é mapeado para principal.ip

target_ip é mapeado para target.ip

target_hostname é mapeado para principal.hostname

port é mapeado para target.port

o usuário é mapeado para "principal.user.user_display_name"

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

msg é mapeado para security_result.description

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|"

A mensagem é mapeada para (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

ATUALIZAÇÃO DE STATUS

principal.platform é definido como "LINUX"

target_ip é mapeado para target.ip

target_port é mapeado para target.port

severity é mapeado para security_result.severity

timestamp é mapeado para metadata.timestamp

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text>

ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

principal.platform está definido como Linux

target_ip é mapeado para target.ip

target_port é mapeado para target.port

target_hostname é mapeado para target.hostname

intermediary_ip é mapeado para intermediary.ip

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

message é mapeado para metadata.description

user é mapeado para target.hostname

ip é mapeado para target.ip

port é mapeado para target.port

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como OpenVPN Access Server

principal.platform está definido como Linux

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

A mensagem é mapeada para security_result.description

o resumo é mapeado para security_result.summary

user_name é mapeado para principal.user.user_display_name

cli é mapeado para principal.process.command_line

O status é mapeado para principal.user.user_authentication_status

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "OpenVPN Access Server"

principal.platform é definido como "LINUX"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Use "config.getProperty(key, targetClass)". [{timestamp}]{severity}{summary}\-{security_description}

, em {command_line}\({file_path}:<message_text>\)

ATUALIZAÇÃO DE STATUS command_line é mapeado para "target.process.command_line"

file_path é mapeado para "target.process.file.full_path"

timestamp é mapeado para "metadata.event_timestamp"

severity é mapeado para "security_result.severity"

O resumo é mapeado para "security_result.summary"

security_description é mapeado para "security_result.description"

metadata.product_name está definido como "FLUENTD"

metadata.vendor_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: Removed session 153. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

Se "security_description" for "Removed session", o "event_type" será definido como "USER_LOGOUT".

extensions.auth.type é definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 27 de junho 11:07:17 Ubuntu18 systemd-logind[804]: New session 564 of user root. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

"network.application_protocol" é mapeado para "SSH"

if(new_session) event_type é definido como USER_LOGIN

extensions.auth.type é definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido )?{principal_user_userid} de {principal_ip} porta {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? USER_LOGIN

O carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

principal_ip é mapeado para "principal.ip"

principal_port é mapeado para "principal.port"

security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value"

security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} ATUALIZAÇÃO DE STATUS

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para principal.hostname

principal_application é mapeado para principal.application

pid é mapeado para principal.process.pid

principal_user_userid é mapeado para target.user.userid

security_description é mapeado para "security_result.description"

principal_process_command_line_1 é mapeado para "principal.process.command_line"

principal_process_command_line_2 é mapeado para "principal.process.command_line"

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

/var/log/auth.log 4 de julho 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} para (usuário inválido|usuário){principal_user_userid} USER_LOGOUT

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 30 de junho 11:32:26 Ubuntu18 sshd[29425]: Connection reset by authenticating user root 198.51.100.1 port 52518 [preauth] {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

timestamp é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname.

principal_application é mapeado para target.application se o valor for "USER_LOGOUT", caso contrário, é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor for "USER_LOGOUT", caso contrário, é mapeado para principal.process.pid.

security_description é mapeado para security_result.description

security_summary é mapeado para security_result.summary

principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT", caso contrário, é mapeado para target.user.userid.

target_ip é mapeado para target.ip

target_port é mapeado para target.port"

principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} ATUALIZAÇÃO DE STATUS

O carimbo de data/hora é mapeado para "metadata.timestamp"

pid é mapeado para "principal.process.pid"

principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels"

principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels"

principal_user_userid é mapeado para "principal.user.userid"

principal_group_product_object_id é mapeado para "principal.group.product_object_id"

security_description é mapeado para "security_result.description"

metadata_description é mapeado para "metadata.description"

metadata.product_name" está definido como "FLUENTD"

metadata.vendor_name" está definido como "FLUENTD"

var/log/samba/log.winbindd messaging_dgm_init: bind failed: No space left on device {user_id}: {desc} ATUALIZAÇÃO DE STATUS

metadata.product_name" está definido como "FLUENTD"

metadata.vendor_name" está definido como "FLUENTD"

user_id é mapeado para principal.user.userid

desc é mapeado para metadata.description

/var/log/mail.log 16 de julho, 11h40min56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} ATUALIZAÇÃO DE STATUS

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho, 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho, 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> ATUALIZAÇÃO DE STATUS

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

resource_name é mapeado para target.resource.name

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho, 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} ATUALIZAÇÃO DE STATUS

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

application é mapeado para target.application

pid é mapeado para target.process.pid

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

Auditoria

Campos de registro de auditoria para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de auditoria e os campos correspondentes da UDM.

Campo de registro Campo do UDM
acct target.user.user_display_name
addr principal.ip
arch about.labels.key/value
auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
dados about.labels.key/value
devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
família network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2. Caso contrário, é definido como "UNKNOWN_IP_PROTOCOL"
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
nome do host target.hostname
icmptype network.ip_protocol está definido como "ICMP"
ID Se [audit_log_type] == "ADD_USER", target.user.userid será definido como "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id será definido como "%{id}"

caso contrário, target.user.attribute.labels.key/value será definido como id

inode target.resource.product_object_id
chave security_result.detection_fields.key/value
list security_result.about.labels.key/value
modo target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nome target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid
oses network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
ouid target.user.userid
path target.file.full_path
perm target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol será definido como "IP6IN4"

caso contrário, network.ip_protocol será definido como "UNKNOWN_IP_PROTOCOL"

res security_result.summary
result security_result.summary
saddr security_result.detection_fields.key/value
sauid target.user.attribute.labels.key/value
ses network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
sucesso Se success=='yes', security_result.summary será definido como 'system call was successful' else security_result.summary será definido como 'systemcall was failed'
suid target.user.userid
syscall about.labels.key/value
terminal target.labels.key/value
tty target.labels.key/value
uid Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid for definido como principal.user.userid

else uid is set to target.user.userid

vm target.resource.name

Tipos de registro de auditoria para tipo de evento da UDM

A tabela a seguir lista os tipos de registro de auditoria e os tipos de eventos da UDM correspondentes.

Tipo de registro de auditoria Tipo de evento da UDM Descrição
ADD_GROUP GROUP_CREATION Acionado quando um grupo de espaço do usuário é adicionado.
ADD_USER USER_CREATION Acionado quando uma conta de usuário do espaço do usuário é adicionada.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de núcleo, se ativado).
AVC GENERIC_EVENT Acionada para gravar uma verificação de permissão do SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Acionado quando a configuração do sistema de auditoria é modificada.
CRED_ACQ USER_LOGIN Acionado quando um usuário adquire credenciais de espaço do usuário.
CRED_DISP USER_LOGOUT Acionado quando um usuário descarta credenciais do espaço do usuário.
CRED_REFR USER_LOGIN Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Acionada para registrar o identificador de chave criptográfica usado para fins criptográficos.
CRYPTO_SESSION PROCESS_TERMINATION Acionada para registrar parâmetros definidos durante o estabelecimento de uma sessão TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT PROCESS_TERMINATION Acionada quando um daemon é interrompido devido a um erro.
DAEMON_END PROCESS_TERMINATION Acionado quando um daemon é interrompido com sucesso.
DAEMON_RESUME PROCESS_UNCATEGORIZED Acionado quando o daemon auditd retoma o registro.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Acionada quando o daemon auditd faz a rotação dos arquivos de registro de auditoria.
DAEMON_START PROCESS_LAUNCH Acionado quando o daemon auditd é iniciado.
DEL_GROUP GROUP_DELETION Acionado quando um grupo do espaço do usuário é excluído.
Pendente USER_DELETION Acionado quando um usuário do espaço do usuário é excluído.
EXECVE PROCESS_LAUNCH Acionada para gravar argumentos da chamada de sistema execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Acionado quando um valor booleano do SELinux é alterado.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um evento IPSec quando ele é detectado ou quando a configuração do IPSec muda.
MAC_POLICY_LOAD GENERIC_EVENT Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS GENERIC_EVENT Acionada quando o modo do SELinux (restrito, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecido pelo NetLabel.
NETFILTER_CFG GENERIC_EVENT Acionada quando modificações na cadeia Netfilter são detectadas.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionada para registrar informações sobre um processo a que um sinal é enviado.
PATH FILE_OPEN/GENERIC_EVENT Acionada para gravar informações do caminho do nome do arquivo.
SELINUX_ERR GENERIC_EVENT Acionado quando um erro interno do SELinux é detectado.
SERVICE_START SERVICE_START Acionado quando um serviço é iniciado.
SERVICE_STOP SERVICE_STOP Acionado quando um serviço é interrompido.
SYSCALL GENERIC_EVENT Acionada para gravar uma chamada de sistema no kernel.
SYSTEM_BOOT STATUS_STARTUP Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL STATUS_UPDATE Acionada quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Acionada quando o sistema é desligado.
USER_ACCT SETTING_MODIFICATION Acionado quando uma conta de usuário do espaço do usuário é modificada.
USER_AUTH USER_LOGIN Acionado quando uma tentativa de autenticação no espaço do usuário é detectada.
USER_AVC USER_UNCATEGORIZED Acionado quando uma mensagem AVC de espaço do usuário é gerada.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Acionado quando um atributo da conta de usuário é modificado.
USER_CMD USER_COMMUNICATION Acionado quando um comando de shell do espaço do usuário é executado.
USER_END USER_LOGOUT Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR USER_UNCATEGORIZED Acionado quando um erro de estado da conta de usuário é detectado.
USER_LOGIN USER_LOGIN Acionado quando um usuário faz login.
USER_LOGOUT USER_LOGOUT Acionado quando um usuário faz logout.
USER_MAC_POLICY_LOAD RESOURCE_READ Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT USER_UNCATEGORIZED Acionado para registrar dados de gerenciamento do espaço do usuário.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Acionado quando a função do SELinux de um usuário é alterada.
USER_START USER_LOGIN Acionado quando uma sessão do espaço do usuário é iniciada.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Acionada quando uma mudança na configuração do sistema no espaço do usuário é detectada.
VIRT_CONTROL STATUS_UPDATE Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Acionada para registrar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Acionado para registrar a atribuição de recursos de uma máquina virtual.

E-mail

Campos de registro de e-mail para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos correspondentes da UDM.

Campo de registro Campo do UDM
Turma about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
Conexão relay intermediary.hostname

intermediary.ip

Tamanho network.received_bytes
Estatística security_result.summary
a network.email.to

Tipos de registros de e-mail para tipo de evento da UDM

A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento da UDM correspondentes.

Tipo de registro de e-mail Tipo de evento da UDM
sendmail ATUALIZAÇÃO DE STATUS
pickup EMAIL_UNCATEGORIZED
cleanup ATUALIZAÇÃO DE STATUS
qmgr EMAIL_UNCATEGORIZED
smtp ATUALIZAÇÃO DE STATUS
Local EMAIL_UNCATEGORIZED

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.