收集 Fluentd 日志
本文档介绍了如何通过配置 Fluentd 和 Google Security Operations 转发器来收集 Fluentd 日志。本文档还列出了支持的日志类型和支持的 Fluentd 版本。
如需了解详情,请参阅将数据注入 Google Security Operations。
概览
以下部署架构图展示了如何在转发器服务器和聚合器服务器上安装 Fluentd,以将日志发送到 Google Security Operations。每个客户部署都可能与此表示法不同,并且可能更复杂。
架构图显示了以下组件:
Linux 系统。要监控的 Linux 系统。Linux 系统由要监控的文件和 Fluentd 转发器服务器组成。
Microsoft Windows 系统。要监控的 Microsoft Windows 系统,Fluentd 转发器服务器安装在该系统中。
Fluentd forwarder。Fluentd 转发器从 Microsoft Windows 或 Linux 系统收集信息,并将信息转发到 Fluentd 聚合器。
Fluentd 聚合器。Fluentd 聚合器从 Fluentd 转发器接收日志,并将日志转发到 Google Security Operations 转发器。
Bindplane 代理。Bindplane 代理从 Zscaler ZPA 中提取日志,并将日志发送到 Google SecOps。
Google Security Operations 转发器。Google Security Operations 转发器是一种部署在客户网络中的轻量级软件组件,支持 Syslog。Google Security Operations 转发器会将日志转发到 Google Security Operations。
Google Security Operations。Google Security Operations 会保留并分析来自 Fluentd 聚合器的日志。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FLUENTD 注入标签的解析器。
准备工作
确保在您计划监控的 Microsoft Windows 或 Linux 系统上安装 Fluentd 转发器。如需详细了解如何安装 Fluentd 转发器,请参阅 Fluentd 安装
使用 Google Security Operations 解析器支持的 Fluentd 版本。Google Security Operations 解析器支持 Fluentd 1.0 版。
确保在中央 Linux 服务器上安装并配置了 Fluentd 聚合器。
确保部署架构中的所有系统都配置为使用世界协调时间 (UTC) 时区。
验证 Google Security Operations 解析器支持的日志类型。 下表列出了 Google Security Operations 解析器支持的产品和日志文件路径:
操作系统 产品 日志文件路径 Microsoft Windows Microsoft Windows 事件日志 Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/service.log Linux 桑巴 /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
配置 Fluentd 转发器和聚合器,以及 Google Security Operations 转发器
如需监控 Linux 系统生成的日志,请创建一个
td-agent.conf文件,以指定 Fluentd 转发器的日志监控配置。以下是 Linux 系统上 Fluentd 转发器的配置文件示例:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>如需监控 Microsoft Windows 系统生成的日志,请创建一个
td-agent.conf文件,以指定 Fluentd 转发器的日志监控配置。以下是 Microsoft Windows 系统上 Fluentd 转发器的配置文件示例:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>如需将日志从 Fluentd 聚合器转发到 Google Security Operations 转发器,请创建以下格式的配置文件:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>配置 Google Security Operations 转发器,以将日志发送到 Google Security Operations。 如需了解详情,请参阅在 Linux 上安装和配置转发器。 以下是 Google Security Operations 转发器配置的示例:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
使用 Bindplane 代理将日志转发到 Google SecOps
- 安装并设置 Linux 虚拟机。
- 在 Linux 上安装和配置 Bindplane 代理,以将日志转发到 Google SecOps。如需详细了解如何安装和配置 Bindplane 代理,请参阅 Bindplane 代理安装和配置说明。
如果您在创建 Feed 时遇到问题,请与 Google SecOps 支持团队联系。
支持的 Fluentd 日志格式
Fluentd 解析器支持 SYSLOG+JSON 格式的日志。
支持的 Fluentd 示例日志
SYSLOG + JSON
"2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"
字段映射参考
本部分介绍了解析器如何针对 Linux 和 Microsoft Windows 系统应用 grok 模式,以及如何针对每种日志类型将 Fluentd 日志字段映射到 Google Security Operations Unified Data Model (UDM) 字段。
如需了解常见字段的映射参考信息,请参阅常见字段
如需了解 Linux 系统上的日志路径、示例日志的 Grok 模式、事件类型和 UDM 字段,请参阅以下部分:
如需了解受支持的 Microsoft Windows 事件和相应的 UDM 字段,请参阅 Microsoft Windows 事件数据
常用字段
下表列出了常见日志字段及其对应的 UDM 字段。
| 常见日志字段 | UDM 字段 |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname 或 principal.hostname |
| inner_message.path | event_source |
Linux 系统
下表列出了 Linux 系统的日志路径、示例日志的 Grok 模式、事件类型和 UDM 映射:
| 日志路径 | 日志示例 | Grok 模式 | 事件类型 | UDM 映射 |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | 时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 会映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 已映射到 principal.port error_message 映射到 security_result.description network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | 时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 会映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid error_message 映射到 security_result.description network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” 时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 会映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 已映射到 principal.port error_message 映射到 security_result.description target.platform 设置为“LINUX” referer_url 映射到 network.http.referral_url |
| /var/log/apache2/error.log | [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | 时间戳映射到 metadata.event_timestamp log_module 映射到 target.resource.name log_level 会映射到 security_result.severity pid 映射到 target.process.parent_process.pid tid 映射到 target.process.pid client_ip 映射到 principal.ip client_port 已映射到 principal.port error_message 映射到 security_result.description target_ip 映射到 target.ip referer_url 映射到 network.http.referral_url network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | 时间戳映射到 metadata.event_timestamp client_ip 映射到 principal.ip client_port 已映射到 principal.port connection_id 映射到 network.session_id network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | 时间戳映射到 metadata.event_timestamp request_id 已映射到 security_result.detection_fields。(键/值) client_ip 映射到 principal.ip client_port 已映射到 principal.port pid 映射到 target.process.parent_process.pid connection_id 映射到 network.session_id network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | 时间戳映射到 metadata.event_timestamp log_level 会映射到 security_result.severity request_id 已映射到 security_result.detection_fields。(键/值) client_ip 映射到 principal.ip client_port 已映射到 principal.port pid 映射到 target.process.parent_process.pid connection_id 映射到 network.session_id error_message 映射到 security_result.description file_path 已映射到 target.file.full_path network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip 映射到 principal.ip userid 映射到 principal.user.userid 主机映射到 principal.hostname 时间戳映射到 metadata.event_timestamp 方法映射到 network.http.method 资源映射到 principal.resource.name client_protocol 映射到 network.application_protocol result_status 映射到 network.http.response_code object_size 映射到 network.sent_bytes referer_url 映射到 network.http.referral_url user_agent 已映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host 映射到 target.hostname
target_port 已映射到 target.port client_ip 映射到 principal.ip userid 映射到 principal.user.userid 主机映射到 principal.hostname 时间戳映射到 metadata.event_timestamp 方法映射到 network.http.method 资源映射到 principal.resource.name result_status 映射到 network.http.response_code object_size 映射到 network.sent_bytes referer_url 映射到 network.http.referral_url user_agent 已映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” network.application_protocol 设置为“HTTP” |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip 映射到 principal.ip userid 映射到 principal.user.userid 方法映射到 network.http.method 路径映射到 target.url result_status 映射到 network.http.response_code object_size 映射到 network.sent_bytes referer_url 映射到 network.http.referral_url user_agent 已映射到 network.http.user_agent network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” network.application_protocol 设置为“HTTP” |
| /var/log/apache2/access.log | “http://192.0.2.1/test/first.html” -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | 路径映射到 target.url referer_url 映射到 network.http.referral_url network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent 已映射到 network.http.user_agent network.direction 设置为“OUTBOUND” target.platform 设置为“LINUX” network.application_protocol 设置为“HTTP” target.platform 设置为“LINUX” metadata.vendor_name 设置为“Apache” metadata.product_name 设置为“Apache HTTP Server” |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | 时间映射到 metadata.timestamp IP 映射到 target.ip principal_ip 映射到 principal.ip principal_user_userid 映射到 principal.user.userid metadata_timestamp 映射到时间戳 http_method 映射到 network.http.method resource_name 映射到 principal.resource.name 协议映射到 network.application_protocol = (HTTP) response_code 映射到 network.http.response_code received_bytes 映射到 network.sent_bytes referer_url 映射到 network.http.referral_url user_agent 已映射到 network.http.user_agent target.platform 设置为“LINUX” metadata.vendor_name 设置为“NGINX” metadata.product_name 设置为“NGINX” network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 映射到“{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" “bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})”, "\*{cid}{security_description}", “{security_description}” |
NETWORK_HTTP | thread_id 已映射到 principal.process.pid 严重程度映射到 security_result.severity (调试映射到 UNKNOWN_SEVERITY,信息映射到 INFORMATIONAL,通知映射到 LOW,警告映射到 MEDIUM,错误映射到 ERROR,严重映射到 CRITICAL,提醒映射到 HIGH) target_file_full_path 映射到 target.file.full_path principal_ip 映射到 principal.ip target_hostname 映射到 target.hostname http_method 映射到 network.http.method resource_name 映射到 principal.resource.name 协议映射到“TCP” target_ip 映射到 target.ip target_port 已映射到 target.port security_description + security_result_description_2 已映射到 security_result.description pid 映射到 principal.process.parent_process.pid network.application_protocol 设置为“HTTP” 时间戳映射到 {year}/{day}/{month} {time} target.platform 设置为“LINUX” metadata.vendor_name 设置为“NGINX” metadata.product_name 设置为“NGINX” network.ip_protocol 设置为“TCP” network.direction 设置为“OUTBOUND” |
| var/log/rkhunter.log | [14:10:40] 所需命令检查失败 | [<message_text>]{security_description} | 状态更新 | 时间映射到 metadata.timestamp security_description 已映射到 security_result.description 将 principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter” |
| var/log/rkhunter.log | [14:09:52] 正在检查文件“/dev/.oz/.nap/rkit/terror”[未找到] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description 映射到 metadata.description
file_path 已映射到 target.file.full_path security_description 已映射到 security_result.description 将 principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter” |
| var/log/rkhunter.log | fluentd:文件大小已减小(inode 保持不变):'/var/log/rkhunter.log'。 | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | 时间映射到 metadata.timestamp metadata_description 映射到 metadata.description file_path 已映射到 target.file.full_path 将 principal.platform 设置为“LINUX” metadata.vendor_name 设置为“RootKit Hunter” metadata.product_name 设置为“RootKit Hunter” |
| /var/log/kern.log | 4 月 28 日 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93:正在向 nfnetlink 注册。 | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | 状态更新 | 时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” metadata_description 映射到“metadata.description” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX” |
| /var/log/kern.log | 7 月 6 日 11:17:01 Ubuntu18 内核:[ 0.030139] smpboot:CPU0:Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz(系列:0x6,型号:0x55,步进:0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | 时间戳映射到“metadata.event_timestamp” principal_hostname 映射到“principal.hostname” metadata_product_event_type 映射到“metadata.product_event_type” principal_asset_hardware_cpu_model 已映射到“principal.asset.hardware.cpu_model” metadata_description 映射到“metadata.description” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” 将 principal.platform 设置为“LINUX” cpu_model 映射到 principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 5 月 24 日 10:30:42 Ubuntu18 systemd[1]:启动了用户 kajal 的会话 112。 | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collected_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid 消息已映射到 metadata.description metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” 将 principal.platform 设置为“LINUX” command_line 映射到 principal.process.command_line |
| /var/log/syslog.log | Jul 06 10:14:37 Ubuntu18 rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time 映射到 metadata.collected_timestamp 主机名映射到 principal.hostname 消息已映射到 metadata.description user_id 映射到 principal.user.userid command_line 映射到 principal.process.command_line metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” principal.platform 设置为“LINUX” |
| /var/log/syslog.log | Jul 06 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time 映射到 metadata.event_timestamp 主机名映射到 principal.hostname pid 映射到 principal.process.pid 消息已映射到 metadata.description metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” 将 principal.platform 设置为“LINUX” command_line 映射到 principal.process.command_line |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | 时间戳映射到 metadata.timestamp log_level 会映射到 security_result.severity local_ip 映射到 principal.ip target_ip 映射到 target.ip target_hostname 映射到 principal.hostname 端口已映射到 target.port 用户映射到 principal.user.user_display_name metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | 状态更新 | 时间戳映射到 metadata.timestamp log_level 会映射到 security_result.severity 消息已映射到 security_result.description metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" 消息映射到 (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
状态更新 | 将 principal.platform 设置为“LINUX” target_ip 映射到 target.ip target_port 已映射到 target.port 严重程度映射到 security_result.severity 时间戳映射到 metadata.timestamp metadata.vendor_name 设置为 OpenVPN metadata.product_name 设置为 OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") 消息映射到 <message_text>,其中 [<message_text>]<message_text>:{port}<message_text> |
状态更新 | 时间戳映射到 metadata.timestamp log_level 会映射到 security_result.severity metadata.vendor_name 设置为 OpenVPN metadata.product_name 设置为 OpenVPN Access Server principal.platform 设置为 Linux target_ip 映射到 target.ip target_port 已映射到 target.port target_hostname 映射到 target.hostname intermediary_ip 映射到 intermediary.ip |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | 状态更新 | 时间戳映射到 metadata.timestamp log_level 会映射到 security_result.severity 消息已映射到 metadata.description 用户已映射到 target.hostname IP 映射到 target.ip 端口已映射到 target.port metadata.vendor_name 设置为 OpenVPN metadata.product_name 设置为 OpenVPN Access Server principal.platform 设置为 Linux |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | 状态更新 | 时间戳映射到 metadata.timestamp log_level 会映射到 security_result.severity 消息映射到 security_result.description 摘要映射到 security_result.summary user_name 映射到 principal.user.user_display_name cli 映射到 principal.process.command_line 状态映射到 principal.user.user_authentication_status metadata.vendor_name 设置为“OpenVPN” metadata.product_name 设置为“OpenVPN Access Server” principal.platform 设置为“LINUX” |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] 警告 config.NavigableMap - 通过点表示法访问配置键“[filterNames]”已弃用,并且将在未来的版本中移除。请改用“config.getProperty(key, targetClass)”。 | [{timestamp}]{severity}{summary}\-{security_description}
,位于 {command_line}\({file_path}:<message_text>\) |
状态更新 | command_line 映射到“target.process.command_line”
file_path 已映射到“target.process.file.full_path” 时间戳映射到“metadata.event_timestamp” 严重程度映射到“security_result.severity” 摘要已映射到“security_result.summary” security_description 已映射到“security_result.description” metadata.product_name 设置为“FLUENTD” metadata.vendor_name 设置为“FLUENTD” |
| /var/log/auth.log | 7 月 4 日 19:26:19 Ubuntu18 systemd-logind[982]:移除了会话 153。 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | 时间戳映射到“metadata.timestamp” 如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname,否则会映射到 principal.hostname 如果值为“USER_LOGOUT”,则 principal_application 映射到 target.application,否则映射到“principal.application” 如果值为“USER_LOGOUT”,则 pid 映射到 target.process.pid;否则,映射到 principal.process.pid。 security_description 已映射到“security_result.description” network_session_id 映射到“network.session_id” 如果值为“USER_LOGOUT”,principal_user_userid 会映射到 principal.user.userid;否则,会映射到 target.user.userid。 “principal.platform”设置为“LINUX” 如果事件 security_description 为“Removed session”,则 event_type 设置为 USER_LOGOUT。 extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/auth.log | 6 月 27 日 11:07:17 Ubuntu18 systemd-logind[804]:用户 root 的新会话 564。 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | 时间戳映射到“metadata.timestamp” 如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname,否则会映射到 principal.hostname 如果值为“USER_LOGOUT”,则 principal_application 映射到 target.application,否则映射到“principal.application” 如果值为“USER_LOGOUT”,则 pid 映射到 target.process.pid;否则,映射到 principal.process.pid。 security_description 已映射到“security_result.description” network_session_id 映射到“network.session_id” 如果值为“USER_LOGOUT”,principal_user_userid 会映射到 principal.user.userid;否则,会映射到 target.user.userid。 “principal.platform”设置为“LINUX” “network.application_protocol”映射到“SSH” if(new_session) event_type is set to USER_LOGIN extensions.auth.type 设置为 AUTHTYPE_UNSPECIFIED metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/auth.log | 6 月 27 日 11:07:17 Ubuntu18 sshd[9349]:接受了来自 198.51.100.1 端口 57619 的 root 密码,ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | 时间戳映射到“metadata.timestamp” 如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname,否则会映射到 principal.hostname 如果值为“USER_LOGOUT”,则 principal_application 映射到 target.application,否则映射到“principal.application” 如果值为“USER_LOGOUT”,则 pid 映射到 target.process.pid;否则,映射到 principal.process.pid。 security_description 已映射到“security_result.description” 如果值为“USER_LOGOUT”,principal_user_userid 会映射到 principal.user.userid;否则,会映射到 target.user.userid。 principal_ip 映射到“principal.ip” principal_port 映射到“principal.port” security_result_detection_fields_ssh_kv 已映射到“security_result.detection_fields.key/value” security_result_detection_fields_kv 已映射到“security_result.detection_fields.key/value” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/auth.log | 4 月 28 日 11:51:13 Ubuntu18 sudo[24149]:root:TTY=pts/5;PWD=/;USER=root;COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | 状态更新 | 时间戳映射到 metadata.timestamp principal_hostname 映射到 principal.hostname principal_application 映射到 principal.application pid 映射到 principal.process.pid principal_user_userid 映射到 target.user.userid security_description 已映射到“security_result.description” principal_process_command_line_1 映射到“principal.process.command_line” principal_process_command_line_2 映射到“principal.process.command_line” principal_user_attribute_labels_uid_kv 映射到“principal.user.attribute.labels.key/value” “principal.platform”设置为“LINUX” |
| /var/log/auth.log | 7 月 4 日 19:39:01 Ubuntu18 CRON[17217]:pam_unix(cron:session):会话已由 (uid=0) 为用户 root 打开 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | 时间戳映射到 metadata.timestamp 如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname,否则会映射到 principal.hostname 如果值为“USER_LOGOUT”,则 principal_application 映射到 target.application,否则映射到“principal.application” 如果值为“USER_LOGOUT”,则 pid 映射到 target.process.pid;否则,映射到 principal.process.pid。 security_description 已映射到“security_result.description” 如果值为“USER_LOGOUT”,principal_user_userid 会映射到 principal.user.userid;否则,会映射到 target.user.userid。 principal_user_attribute_labels_uid_kv 映射到“principal.user.attribute.labels.key/value” “principal.platform”设置为“LINUX” “network.application_protocol”设置为“SSH” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/auth.log | 7 月 4 日 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | 时间戳映射到 metadata.timestamp 如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname,否则会映射到 principal.hostname 如果值为“USER_LOGOUT”,则 principal_application 映射到 target.application,否则映射到“principal.application” 如果值为“USER_LOGOUT”,则 pid 映射到 target.process.pid;否则,映射到 principal.process.pid。 security_description 已映射到“security_result.description” 如果值为“USER_LOGOUT”,principal_user_userid 会映射到 principal.user.userid;否则,会映射到 target.user.userid。 principal_user_attribute_labels_uid_kv 映射到 principal.user.attribute.labels.key/value “principal.platform”设置为“LINUX” metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/auth.log | Jun 30 11:32:26 Ubuntu18 sshd[29425]: Connection reset by authenticating user root 198.51.100.1 port 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | 时间戳映射到 metadata.timestamp 如果值为“USER_LOGOUT”,则 principal_hostname 会映射到 target.hostname,否则会映射到 principal.hostname 如果值为“USER_LOGOUT”,则 principal_application 映射到 target.application,否则映射到“principal.application” 如果值为“USER_LOGOUT”,则 pid 映射到 target.process.pid;否则,映射到 principal.process.pid。 security_description 已映射到 security_result.description security_summary 已映射到 security_result.summary 如果值为“USER_LOGOUT”,principal_user_userid 会映射到 principal.user.userid;否则,会映射到 target.user.userid。 target_ip 映射到 target.ip target_port 已映射到 target.port" principal.platform" 设置为 "LINUX" metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | 状态更新 | 时间戳映射到“metadata.timestamp” pid 已映射到“principal.process.pid” principal_user_attribute_labels_kv 映射到“principal.user.attribute.labels” principal_group_attribute_labels_kv 映射到“principal.group.attribute.labels” principal_user_userid 已映射到“principal.user.userid” principal_group_product_object_id 已映射到“principal.group.product_object_id” security_description 已映射到“security_result.description” metadata_description 映射到“metadata.description” metadata.product_name" 设置为 "FLUENTD" metadata.vendor_name 设置为“FLUENTD” |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}:{desc} | 状态更新 | metadata.product_name" 设置为 "FLUENTD" metadata.vendor_name 设置为“FLUENTD” user_id 映射到 principal.user.userid desc 映射到 metadata.description |
| /var/log/mail.log | 7 月 16 日 11:40:56 Ubuntu18 sendmail[9341]:22G6AtwH009341:来自<fluentd@Ubuntu18>,大小为 377,类别为 0,nrcpts 为 1,metadata_descriptionid 为<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>,proto 为 SMTP,daemon 为 MTA-v4,relay 为 localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | 状态更新 | target_hostname 映射到 target.hostname 应用映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 映射到 target.hostname 应用映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/cleanup[23434]: AE4271627DB:message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | 状态更新 | target_hostname 映射到 target.hostname 应用映射到 target.application pid 映射到 target.process.pid resource_name 映射到 target.resource.name metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 映射到 target.hostname 应用映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/smtp[23436]:连接到 gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25:网络不可访问 | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | 状态更新 | target_hostname 映射到 target.hostname 应用映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
| /var/log/mail.log | 7 月 7 日 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 映射到 target.hostname 应用映射到 target.application pid 映射到 target.process.pid metadata.vendor_name 设置为“FLUENTD” metadata.product_name 设置为“FLUENTD” |
审核
审核日志字段到 UDM 字段
下表列出了审核日志类型的日志字段及其对应的 UDM 字段。
| 日志字段 | UDM 字段 |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| data | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| 家庭 | 如果“ip_protocol”== 2,则将 network.ip_protocol 设置为“IP6IN4”,否则将其设置为“UNKNOWN_IP_PROTOCOL” |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| 主机名 | target.hostname |
| icmptype | network.ip_protocol 设置为“ICMP” |
| id | 如果 [audit_log_type] == "ADD_USER",则 target.user.userid 设置为“%{id}”
如果 [audit_log_type] == "ADD_GROUP",则 target.group.product_object_id 设置为“%{id}” 否则,target.user.attribute.labels.key/value 设置为 ID |
| inode | target.resource.product_object_id |
| key | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| 模式 | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| 名称 | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| 路径 | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | 如果 [ip_protocol] == 2,则将 network.ip_protocol 设置为“IP6IN4”
否则,network.ip_protocol 将设置为“UNKNOWN_IP_PROTOCOL” |
| res | security_result.summary |
| 结果 | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| 成功 | 如果 success=='yes',则将 security_result.summary 设置为“system call was successful”;否则,将 security_result.summary 设置为“systemcall was failed” |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| 终端 | target.labels.key/value |
| tty | target.labels.key/value |
| uid | 如果 [SYSCALL、SERVICE_START、ADD_GROUP、ADD_USER、MAC_IPSEC_EVENT、MAC_UNLBL_STCADD、OBJ_PID、CONFIG_CHANGE、SECCOMP、USER_CHAUTHTOK、USYS_CONFIG、DEL_GROUP、DEL_USER、USER_CMD、USER_MAC_POLICY_LOAD] 中的 [audit_log_type] 的 uid 设置为 principal.user.userid
否则,将 uid 设置为 target.user.userid |
| vm | target.resource.name |
审核日志类型到 UDM 事件类型
下表列出了审核日志类型及其对应的 UDM 事件类型。
| 审核日志类型 | UDM 事件类型 | 说明 |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | 当添加用户空间群组时触发。 |
| ADD_USER | USER_CREATION | 在添加用户空间用户账号时触发。 |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | 当进程异常结束时(如果已启用,则会发出可能导致核心转储的信号)触发。 |
| AVC | GENERIC_EVENT | 触发以记录 SELinux 权限检查。 |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | 当审核系统配置被修改时触发。 |
| CRED_ACQ | USER_LOGIN | 当用户获取用户空间凭据时触发。 |
| CRED_DISP | USER_LOGOUT | 当用户处置用户空间凭据时触发。 |
| CRED_REFR | USER_LOGIN | 当用户刷新其用户空间凭据时触发。 |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | 触发以记录用于加密目的的加密密钥标识符。 |
| CRYPTO_SESSION | PROCESS_TERMINATION | 触发以记录在 TLS 会话建立期间设置的参数。 |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 触发以记录当前工作目录。 |
| DAEMON_ABORT | PROCESS_TERMINATION | 当守护程序因错误而停止时触发。 |
| DAEMON_END | PROCESS_TERMINATION | 在守护程序成功停止时触发。 |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | 当 auditd 守护程序恢复日志记录时触发。 |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | 当 auditd 精灵轮换审核日志文件时触发。 |
| DAEMON_START | PROCESS_LAUNCH | 在 auditd 精灵启动时触发。 |
| DEL_GROUP | GROUP_DELETION | 当用户空间组被删除时触发 |
| 待处理 | USER_DELETION | 在用户空间用户被删除时触发 |
| EXECVE | PROCESS_LAUNCH | 触发以记录 execve(2) 系统调用的实参。 |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | 当 SELinux 布尔值发生更改时触发。 |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 在检测到 IPSec 事件或 IPSec 配置发生更改时触发,以记录有关 IPSec 事件的信息。 |
| MAC_POLICY_LOAD | GENERIC_EVENT | 在加载 SELinux 政策文件时触发。 |
| MAC_STATUS | GENERIC_EVENT | 当 SELinux 模式(强制、宽容、关闭)发生更改时触发。 |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 使用 NetLabel 提供的内核数据包标记功能时,如果添加静态标签,则会触发此事件。 |
| NETFILTER_CFG | GENERIC_EVENT | 检测到 Netfilter 链修改时触发。 |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 触发以记录有关向其发送信号的进程的信息。 |
| PATH | FILE_OPEN/GENERIC_EVENT | 触发以记录文件名称路径信息。 |
| SELINUX_ERR | GENERIC_EVENT | 检测到内部 SELinux 错误时触发。 |
| SERVICE_START | SERVICE_START | 在服务启动时触发。 |
| SERVICE_STOP | SERVICE_STOP | 当服务停止时触发。 |
| SYSCALL | GENERIC_EVENT | 触发以记录向内核发出的系统调用。 |
| SYSTEM_BOOT | STATUS_STARTUP | 在系统启动时触发。 |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | 当系统运行级别发生更改时触发。 |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | 在系统关闭时触发。 |
| USER_ACCT | SETTING_MODIFICATION | 在用户空间用户账号被修改时触发。 |
| USER_AUTH | USER_LOGIN | 当检测到用户空间身份验证尝试时触发。 |
| USER_AVC | USER_UNCATEGORIZED | 在生成用户空间 AVC 消息时触发。 |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | 在用户账号属性被修改时触发。 |
| USER_CMD | USER_COMMUNICATION | 在执行用户空间 shell 命令时触发。 |
| USER_END | USER_LOGOUT | 当用户空间会话终止时触发。 |
| USER_ERR | USER_UNCATEGORIZED | 在检测到用户账号状态错误时触发。 |
| USER_LOGIN | USER_LOGIN | 当用户登录时触发。 |
| USER_LOGOUT | USER_LOGOUT | 当用户退出登录时触发。 |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | 当用户空间守护程序加载 SELinux 政策时触发。 |
| USER_MGMT | USER_UNCATEGORIZED | 触发以记录用户空间管理数据。 |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | 当用户的 SELinux 角色发生变化时触发。 |
| USER_START | USER_LOGIN | 当用户空间会话开始时触发。 |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | 在检测到用户空间系统配置发生变化时触发。 |
| VIRT_CONTROL | STATUS_UPDATE | 在虚拟机启动、暂停或停止时触发。 |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | 触发以记录标签与虚拟机的绑定。 |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | 触发以记录虚拟机的资源分配。 |
邮件
邮件日志字段到 UDM 字段
下表列出了邮件日志类型的日志字段及其对应的 UDM 字段。
| 日志字段 | UDM 字段 |
|---|---|
| 类 | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| From | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| 中继 | intermediary.hostname
intermediary.ip |
| 尺寸 | network.received_bytes |
| 统计信息 | security_result.summary |
| 至 | network.email.to |
邮件日志类型到 UDM 事件类型
下表列出了邮件日志类型及其对应的 UDM 事件类型。
| 邮件日志类型 | UDM 事件类型 |
|---|---|
| sendmail | 状态更新 |
| 接送 | EMAIL_UNCATEGORIZED |
| 清理 | 状态更新 |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | 状态更新 |
| local | EMAIL_UNCATEGORIZED |
后续步骤
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。