收集 Fluentd 記錄
本文說明如何設定 Fluentd 和 Google Security Operations 轉送程式,以收集 Fluentd 記錄。本文也列出支援的記錄類型和 Fluentd 版本。
詳情請參閱「將資料擷取至 Google Security Operations」。
總覽
下方的部署架構圖顯示如何在轉送伺服器和匯總伺服器上安裝 Fluentd,將記錄傳送至 Google Security Operations。每個客戶部署作業可能與此表示法不同,且可能更複雜。
架構圖顯示下列元件:
Linux 系統。要監控的 Linux 系統。Linux 系統包含要監控的檔案和 Fluentd 轉送伺服器。
Microsoft Windows 系統。要監控的 Microsoft Windows 系統,其中已安裝 Fluentd 轉送伺服器。
Fluentd 轉送器。Fluentd 轉送器會從 Microsoft Windows 或 Linux 系統收集資訊,然後將資訊轉送至 Fluentd 匯總器。
Fluentd 匯總工具。Fluentd 匯總工具會接收來自 Fluentd 轉送程式的記錄,並將記錄轉送至 Google Security Operations 轉送程式。
Bindplane 代理程式。Bindplane 代理程式會從 Zscaler ZPA 擷取記錄,並將記錄傳送至 Google SecOps。
Google Security Operations 轉送器。Google Security Operations 轉送器是部署在客戶網路中的輕量型軟體元件,支援系統記錄。Google Security Operations 轉送器會將記錄轉送至 Google Security Operations。
Google Security Operations。Google Security Operations 會保留及分析 Fluentd 匯總工具的記錄。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 FLUENTD 攝入標籤的剖析器。
事前準備
確認您打算監控的 Microsoft Windows 或 Linux 系統已安裝 Fluentd 轉送器。如要進一步瞭解如何安裝 Fluentd 轉送器,請參閱 Fluentd 安裝
請使用 Google Security Operations 剖析器支援的 Fluentd 版本。Google Security Operations 剖析器支援 Fluentd 1.0 版。
確認 Fluentd 匯總工具已安裝在中央 Linux 伺服器上,並完成設定。
請確保部署架構中的所有系統都以世界標準時間設定。
確認 Google Security Operations 剖析器支援的記錄檔類型。 下表列出 Google Security Operations 剖析器支援的產品和記錄檔路徑:
作業系統 產品 記錄檔路徑 Microsoft Windows Microsoft Windows 事件記錄 Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/service.log Linux 森巴 /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
設定 Fluentd 轉送器和匯總器,以及 Google Security Operations 轉送器
如要監控 Linux 系統產生的記錄,請建立
td-agent.conf檔案,為 Fluentd 轉送器指定記錄監控設定。以下是 Linux 系統上 Fluentd 轉寄站的設定檔範例:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>如要監控 Microsoft Windows 系統產生的記錄,請建立
td-agent.conf檔案,指定 Fluentd 轉送器的記錄監控設定。以下是 Microsoft Windows 系統上 Fluentd 轉送器的設定檔範例:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>如要將記錄從 Fluentd 匯總工具轉送至 Google Security Operations 轉送工具,請建立下列格式的設定檔:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>設定 Google Security Operations 轉送器,將記錄傳送至 Google Security Operations。詳情請參閱「在 Linux 上安裝及設定轉送器」。以下是 Google Security Operations 轉送器設定範例:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
使用 Bindplane 代理程式將記錄轉送至 Google SecOps
- 安裝並設定 Linux 虛擬機器。
- 在 Linux 上安裝及設定 Bindplane 代理程式,將記錄轉寄至 Google SecOps。如要進一步瞭解如何安裝及設定 Bindplane 代理程式,請參閱 Bindplane 代理程式安裝及設定操作說明。
如果在建立動態饋給時遇到問題,請與 Google SecOps 支援團隊聯絡。
支援的 Fluentd 記錄格式
Fluentd 剖析器支援 SYSLOG+JSON 格式的記錄。
支援的 Fluentd 範例記錄
SYSLOG + JSON
"2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"
欄位對應參考資料
本節說明剖析器如何將 grok 模式套用至 Linux 和 Microsoft Windows 系統,以及如何將 Fluentd 記錄欄位對應至各記錄類型的 Google Security Operations 統合式資料模型 (UDM) 欄位。
如要瞭解常見欄位的對應參照,請參閱「常見欄位」一文。
如要瞭解 Linux 系統上的記錄路徑、範例記錄的 grok 模式、事件類型和 UDM 欄位,請參閱下列章節:
如要瞭解支援的 Microsoft Windows 事件和對應的 UDM 欄位,請參閱「Microsoft Windows 事件資料」
常用欄位
下表列出常見的記錄檔欄位和對應的 UDM 欄位。
| 常見記錄欄位 | UDM 欄位 |
|---|---|
| collected_time | metadata.collected_timestamp |
| inner_message.message | inner_message |
| inner_message.forwarder_hostname | target.hostname 或 principal.hostname |
| inner_message.path | event_source |
Linux 系統
下表列出 Linux 系統的記錄路徑、範例記錄的 Grok 模式、事件類型和 UDM 對應:
| 記錄路徑 | 記錄範例 | Grok 模式 | 事件類型 | UDM 對應 |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | 時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid client_ip 會對應至 principal.ip client_port 會對應至 principal.port error_message 會對應至 security_result.description network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | 時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid error_message 會對應至 security_result.description network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid client_ip 會對應至 principal.ip client_port 會對應至 principal.port error_message 會對應至 security_result.description target.platform 已設為「LINUX」 referer_url 會對應至 network.http.referral_url |
| /var/log/apache2/error.log | [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http:// | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | 時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid client_ip 會對應至 principal.ip client_port 會對應至 principal.port error_message 會對應至 security_result.description target_ip 會對應至 target.ip referer_url 會對應至 network.http.referral_url network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | 時間戳記會對應至 metadata.event_timestamp client_ip 會對應至 principal.ip client_port 會對應至 principal.port connection_id 會對應至 network.session_id network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | 時間戳記會對應至 metadata.event_timestamp request_id 會對應至 security_result.detection_fields.(key/value) client_ip 會對應至 principal.ip client_port 會對應至 principal.port pid 會對應至 target.process.parent_process.pid connection_id 會對應至 network.session_id network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | 時間戳記會對應至 metadata.event_timestamp log_level 會對應至 security_result.severity request_id 會對應至 security_result.detection_fields.(key/value) client_ip 會對應至 principal.ip client_port 會對應至 principal.port pid 會對應至 target.process.parent_process.pid connection_id 會對應至 network.session_id error_message 會對應至 security_result.description file_path 會對應至 target.file.full_path network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/access.log | 192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip 會對應至 principal.ip userid 對應至 principal.user.userid 主機對應至 principal.hostname 時間戳記會對應至 metadata.event_timestamp 方法會對應至 network.http.method 資源會對應至 principal.resource.name client_protocol 對應至 network.application_protocol result_status 會對應至 network.http.response_code object_size 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host 會對應至 target.hostname target_port 會對應至 target.port client_ip 會對應至 principal.ip userid 對應至 principal.user.userid 主機對應至 principal.hostname 時間戳記會對應至 metadata.event_timestamp 方法會對應至 network.http.method 資源會對應至 principal.resource.name result_status 會對應至 network.http.response_code object_size 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 network.application_protocol 設為「HTTP」 |
| var/log/apache2/novnc-server-access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | client_ip 會對應至 principal.ip userid 對應至 principal.user.userid 方法會對應至 network.http.method 路徑會對應至 target.url result_status 會對應至 network.http.response_code object_size 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 network.application_protocol 設為「HTTP」 |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | 路徑會對應至 target.url referer_url 會對應至 network.http.referral_url network.direction 設為「OUTBOUND」 target.platform 已設為「LINUX」 network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent 會對應至 network.http.user_agent network.direction 設為「OUTBOUND」 target.platform 已設為「LINUX」 network.application_protocol 設為「HTTP」 target.platform 已設為「LINUX」 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」 |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | 時間會對應至 metadata.timestamp ip 會對應至 target.ip principal_ip 會對應至 principal.ip principal_user_userid 對應至 principal.user.userid metadata_timestamp 對應至時間戳記 http_method 會對應至 network.http.method resource_name 會對應至 principal.resource.name protocol is mapped to network.application_protocol = (HTTP) response_code 會對應至 network.http.response_code received_bytes 對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent target.platform 已設為「LINUX」 metadata.vendor_name 設為「NGINX」 metadata.product_name 設為「NGINX」 network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 對應至「{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id 會對應至 principal.process.pid 嚴重性會對應至 security_result.severity (debug 對應至 UNKNOWN_SEVERITY,info 對應至 INFORMATIONAL,notice 對應至 LOW,warn 對應至 MEDIUM,error 對應至 ERROR,crit 對應至 CRITICAL,alert 對應至 HIGH) target_file_full_path 會對應至 target.file.full_path principal_ip 會對應至 principal.ip target_hostname 會對應至 target.hostname http_method 會對應至 network.http.method resource_name 會對應至 principal.resource.name 通訊協定對應至「TCP」 target_ip 會對應至 target.ip target_port 會對應至 target.port security_description + security_result_description_2 會對應至 security_result.description pid 會對應至 principal.process.parent_process.pid network.application_protocol 設為「HTTP」 時間戳記對應至 {year}/{day}/{month} {time} target.platform 已設為「LINUX」 metadata.vendor_name 設為「NGINX」 metadata.product_name 設為「NGINX」 network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 |
| var/log/rkhunter.log | [14:10:40] Required commands check failed | [<message_text>]{security_description} | 最新狀態 | 時間會對應至 metadata.timestamp security_description 會對應至 security_result.description principal.platform 設為「LINUX」 metadata.vendor_name 設為「RootKit Hunter」 metadata.product_name 設為「RootKit Hunter」 |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description 對應至 metadata.description
file_path 會對應至 target.file.full_path security_description 會對應至 security_result.description principal.platform 設為「LINUX」 metadata.vendor_name 設為「RootKit Hunter」 metadata.product_name 設為「RootKit Hunter」 |
| var/log/rkhunter.log | fluentd:檔案大小縮減 (inode 仍存在):'/var/log/rkhunter.log'。 | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | 時間會對應至 metadata.timestamp metadata_description 對應至 metadata.description file_path 會對應至 target.file.full_path principal.platform 設為「LINUX」 metadata.vendor_name 設為「RootKit Hunter」 metadata.product_name 設為「RootKit Hunter」 |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | 最新狀態 | 時間戳記會對應至「metadata.event_timestamp」 principal_hostname 對應至「principal.hostname」 metadata_product_event_type 對應至「metadata.product_event_type」 metadata_description 會對應至「metadata.description」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」 |
| /var/log/kern.log | Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | 時間戳記會對應至「metadata.event_timestamp」 principal_hostname 對應至「principal.hostname」 metadata_product_event_type 對應至「metadata.product_event_type」 principal_asset_hardware_cpu_model 會對應至「principal.asset.hardware.cpu_model」 metadata_description 會對應至「metadata.description」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」 cpu_model 對應至 principal.asset.hardware.cpu_model |
| /var/log/syslog.log | May 24 10:30:42 Ubuntu18 systemd[1]: Started Session 112 of user kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_UPDATE | collected_time 會對應至 metadata.event_timestamp 主機名稱會對應至 principal.hostname pid 會對應至 principal.process.pid 訊息會對應至 metadata.description metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」 command_line 對應至 principal.process.command_line |
| /var/log/syslog.log | Jul 06 10:14:37 Ubuntu18 rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time 會對應至 metadata.collected_timestamp 主機名稱會對應至 principal.hostname 訊息會對應至 metadata.description user_id 會對應至 principal.user.userid command_line 對應至 principal.process.command_line metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」 |
| /var/log/syslog.log | Jul 06 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time 會對應至 metadata.event_timestamp 主機名稱會對應至 principal.hostname pid 會對應至 principal.process.pid 訊息會對應至 metadata.description metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」 command_line 對應至 principal.process.command_line |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | 時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity local_ip 會對應至 principal.ip target_ip 會對應至 target.ip target_hostname 會對應至 principal.hostname 通訊埠已對應至 target.port 使用者會對應至 principal.user.user_display_name metadata.vendor_name 設為「OpenVPN」 metadata.product_name 設為「OpenVPN Access Server」 principal.platform 設為「LINUX」 |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | 最新狀態 | 時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity msg 會對應至 security_result.description metadata.vendor_name 設為「OpenVPN」 metadata.product_name 設為「OpenVPN Access Server」 principal.platform 設為「LINUX」 |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" message is mapped to (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
最新狀態 | principal.platform 設為「LINUX」 target_ip 會對應至 target.ip target_port 會對應至 target.port 嚴重性會對應至 security_result.severity 時間戳記會對應至 metadata.timestamp metadata.vendor_name 設為 OpenVPN metadata.product_name 設為 OpenVPN Access Server |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|") 訊息會對應至 <message_text>,並包含 [<message_text>]<message_text>:{port}<message_text> |
最新狀態 | 時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity metadata.vendor_name 設為 OpenVPN metadata.product_name 設為 OpenVPN Access Server principal.platform 設為 Linux target_ip 會對應至 target.ip target_port 會對應至 target.port target_hostname 會對應至 target.hostname intermediary_ip 會對應至 intermediary.ip |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | 最新狀態 | 時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity 訊息會對應至 metadata.description user is mapped to target.hostname ip 會對應至 target.ip 通訊埠已對應至 target.port metadata.vendor_name 設為 OpenVPN metadata.product_name 設為 OpenVPN Access Server principal.platform 設為 Linux |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | 最新狀態 | 時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity message is mapped to security_result.description 摘要會對應至 security_result.summary user_name 會對應至 principal.user.user_display_name cli 對應至 principal.process.command_line 狀態會對應至 principal.user.user_authentication_status metadata.vendor_name 設為「OpenVPN」 metadata.product_name 設為「OpenVPN Access Server」 principal.platform 設為「LINUX」 |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. 請改用「config.getProperty(key, targetClass)」。 | [{timestamp}]{severity}{summary}\-{security_description}
,位於 {command_line}\({file_path}:<message_text>\) |
最新狀態 | command_line 對應至「target.process.command_line」
file_path 會對應至「target.process.file.full_path」 時間戳記會對應至「metadata.event_timestamp」 嚴重程度會對應至「security_result.severity」 摘要會對應至「security_result.summary」 security_description 會對應至「security_result.description」 metadata.product_name 設為「FLUENTD」 metadata.vendor_name 設為「FLUENTD」 |
| /var/log/auth.log | Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: Removed session 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | 時間戳記會對應至「metadata.timestamp」 如果值為「USER_LOGOUT」,principal_hostname 會對應至 target.hostname,否則會對應至 principal.hostname 如果值為「USER_LOGOUT」,principal_application 會對應至 target.application,否則會對應至「principal.application」 如果值為「USER_LOGOUT」,pid 會對應至 target.process.pid,否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 network_session_id 對應至「network.session_id」 如果值為「USER_LOGOUT」,principal_user_userid 會對應至 principal.user.userid,否則會對應至 target.user.userid。 「principal.platform」設為「LINUX」 如果事件 security_description 為「Removed session」,則 event_type 會設為「USER_LOGOUT」。 extensions.auth.type 已設為 AUTHTYPE_UNSPECIFIED metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/auth.log | Jun 27 11:07:17 Ubuntu18 systemd-logind[804]: New session 564 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | 時間戳記會對應至「metadata.timestamp」 如果值為「USER_LOGOUT」,principal_hostname 會對應至 target.hostname,否則會對應至 principal.hostname 如果值為「USER_LOGOUT」,principal_application 會對應至 target.application,否則會對應至「principal.application」 如果值為「USER_LOGOUT」,pid 會對應至 target.process.pid,否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 network_session_id 對應至「network.session_id」 如果值為「USER_LOGOUT」,principal_user_userid 會對應至 principal.user.userid,否則會對應至 target.user.userid。 「principal.platform」設為「LINUX」 「network.application_protocol」已對應至「SSH」 if(new_session) event_type is set to USER_LOGIN extensions.auth.type 已設為 AUTHTYPE_UNSPECIFIED metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/auth.log | Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})? | USER_LOGIN | 時間戳記會對應至「metadata.timestamp」 如果值為「USER_LOGOUT」,principal_hostname 會對應至 target.hostname,否則會對應至 principal.hostname 如果值為「USER_LOGOUT」,principal_application 會對應至 target.application,否則會對應至「principal.application」 如果值為「USER_LOGOUT」,pid 會對應至 target.process.pid,否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 如果值為「USER_LOGOUT」,principal_user_userid 會對應至 principal.user.userid,否則會對應至 target.user.userid。 principal_ip 會對應至「principal.ip」 principal_port 會對應至「principal.port」 security_result_detection_fields_ssh_kv 對應至「security_result.detection_fields.key/value」 security_result_detection_fields_kv 對應至「security_result.detection_fields.key/value」 「principal.platform」設為「LINUX」 「network.application_protocol」設為「SSH」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/auth.log | Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | 最新狀態 | 時間戳記會對應至 metadata.timestamp principal_hostname 對應至 principal.hostname principal_application 對應至 principal.application pid 會對應至 principal.process.pid principal_user_userid 會對應至 target.user.userid security_description 會對應至「security_result.description」 principal_process_command_line_1 對應至「principal.process.command_line」 principal_process_command_line_2 對應至「principal.process.command_line」 principal_user_attribute_labels_uid_kv 會對應至「principal.user.attribute.labels.key/value」 「principal.platform」設為「LINUX」 |
| /var/log/auth.log | Jul 4 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | 時間戳記會對應至 metadata.timestamp 如果值為「USER_LOGOUT」,principal_hostname 會對應至 target.hostname,否則會對應至 principal.hostname 如果值為「USER_LOGOUT」,principal_application 會對應至 target.application,否則會對應至「principal.application」 如果值為「USER_LOGOUT」,pid 會對應至 target.process.pid,否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 如果值為「USER_LOGOUT」,principal_user_userid 會對應至 principal.user.userid,否則會對應至 target.user.userid。 principal_user_attribute_labels_uid_kv 會對應至「principal.user.attribute.labels.key/value」 「principal.platform」設為「LINUX」 「network.application_protocol」設為「SSH」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/auth.log | Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user|user){principal_user_userid} | USER_LOGOUT | 時間戳記會對應至 metadata.timestamp 如果值為「USER_LOGOUT」,principal_hostname 會對應至 target.hostname,否則會對應至 principal.hostname 如果值為「USER_LOGOUT」,principal_application 會對應至 target.application,否則會對應至「principal.application」 如果值為「USER_LOGOUT」,pid 會對應至 target.process.pid,否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 如果值為「USER_LOGOUT」,principal_user_userid 會對應至 principal.user.userid,否則會對應至 target.user.userid。 principal_user_attribute_labels_uid_kv 會對應至 principal.user.attribute.labels.key/value 「principal.platform」設為「LINUX」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/auth.log | Jun 30 11:32:26 Ubuntu18 sshd[29425]: Connection reset by authenticating user root 198.51.100.1 port 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | USER_LOGOUT | 時間戳記會對應至 metadata.timestamp 如果值為「USER_LOGOUT」,principal_hostname 會對應至 target.hostname,否則會對應至 principal.hostname 如果值為「USER_LOGOUT」,principal_application 會對應至 target.application,否則會對應至「principal.application」 如果值為「USER_LOGOUT」,pid 會對應至 target.process.pid,否則會對應至 principal.process.pid。 security_description 會對應至 security_result.description security_summary 會對應至 security_result.summary 如果值為「USER_LOGOUT」,principal_user_userid 會對應至 principal.user.userid,否則會對應至 target.user.userid。 target_ip 會對應至 target.ip target_port is mapped to target.port" principal.platform」設為「LINUX」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | 最新狀態 | 時間戳記會對應至「metadata.timestamp」 pid is mapped to "principal.process.pid" principal_user_attribute_labels_kv 會對應至「principal.user.attribute.labels」 principal_group_attribute_labels_kv 會對應至「principal.group.attribute.labels」 principal_user_userid 對應至「principal.user.userid」 principal_group_product_object_id 對應至「principal.group.product_object_id」 security_description 會對應至「security_result.description」 metadata_description 會對應至「metadata.description」 metadata.product_name" is set to "FLUENTD" metadata.vendor_name" is set to "FLUENTD" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}:{desc} | 最新狀態 | metadata.product_name" is set to "FLUENTD" metadata.vendor_name" 設為「FLUENTD」 user_id 會對應至 principal.user.userid desc 會對應至 metadata.description |
| /var/log/mail.log | July 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | 最新狀態 | target_hostname 會對應至 target.hostname 應用程式會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/mail.log | July 7 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 會對應至 target.hostname 應用程式會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/mail.log | July 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | 最新狀態 | target_hostname 會對應至 target.hostname 應用程式會對應至 target.application pid 會對應至 target.process.pid resource_name 會對應至 target.resource.name metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/mail.log | July 7 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 會對應至 target.hostname 應用程式會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/mail.log | 7 月 7 日 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | 最新狀態 | target_hostname 會對應至 target.hostname 應用程式會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
| /var/log/mail.log | July 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname 會對應至 target.hostname 應用程式會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 |
稽核
稽核記錄欄位對應至 UDM 欄位
下表列出稽核記錄類型的記錄欄位,以及對應的 UDM 欄位。
| 記錄欄位 | UDM 欄位 |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| 資料 | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| 家庭 | 如果「ip_protocol」== 2,則 network.ip_protocol 會設為「IP6IN4」,否則會設為「UNKNOWN_IP_PROTOCOL」 |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| 主機名稱 | target.hostname |
| icmptype | network.ip_protocol 設為「ICMP」 |
| id | 如果 [audit_log_type] == "ADD_USER",target.user.userid 會設為「%{id}」
如果 [audit_log_type] == "ADD_GROUP",target.group.product_object_id 會設為「%{id}」 else target.user.attribute.labels.key/value is set to id |
| inode | target.resource.product_object_id |
| key | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| 模式 | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| 路徑 | target.file.full_path |
| perm | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | 如果 [ip_protocol] == 2,network.ip_protocol 會設為「IP6IN4」
else network.ip_protocol is set to "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| 結果 | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| 成功 | 如果 success=='yes',security_result.summary 會設為 'system call was successful' 否則 security_result.summary 會設為 'systemcall was failed' |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| 終端機 | target.labels.key/value |
| tty | target.labels.key/value |
| uid | 如果 [audit_log_type] 位於 [SYSCALL、SERVICE_START、ADD_GROUP、ADD_USER、MAC_IPSEC_EVENT、MAC_UNLBL_STCADD、OBJ_PID、CONFIG_CHANGE、SECCOMP、USER_CHAUTHTOK、USYS_CONFIG、DEL_GROUP、DEL_USER、USER_CMD、USER_MAC_POLICY_LOAD],則 uid 會設為 principal.user.userid
else uid is set to target.user.userid |
| vm | target.resource.name |
稽核記錄類型對應至 UDM 事件類型
下表列出稽核記錄類型和對應的 UDM 事件類型。
| 稽核記錄類型 | UDM 事件類型 | 說明 |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | 在使用者新增使用者空間群組時觸發。 |
| ADD_USER | USER_CREATION | 在新增使用者空間使用者帳戶時觸發。 |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | 當程序異常終止時觸發 (如果已啟用,則會使用可能導致核心傾印的信號)。 |
| AVC | GENERIC_EVENT | 觸發記錄 SELinux 權限檢查。 |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | 稽核系統設定遭到修改時觸發。 |
| CRED_ACQ | USER_LOGIN | 在使用者取得使用者空間憑證時觸發。 |
| CRED_DISP | USER_LOGOUT | 在使用者處置使用者空間憑證時觸發。 |
| CRED_REFR | USER_LOGIN | 使用者重新整理使用者空間憑證時觸發。 |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | 觸發記錄用於加密目的的加密編譯金鑰 ID。 |
| CRYPTO_SESSION | PROCESS_TERMINATION | 在建立 TLS 工作階段期間觸發,以記錄設定的參數。 |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 觸發錄製目前的工作目錄。 |
| DAEMON_ABORT | PROCESS_TERMINATION | 因發生錯誤而停止精靈時觸發。 |
| DAEMON_END | PROCESS_TERMINATION | 成功停止精靈時觸發。 |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | 在 auditd 精靈恢復記錄時觸發。 |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | 當 auditd 精靈輪替稽核記錄檔時觸發。 |
| DAEMON_START | PROCESS_LAUNCH | 在啟動 auditd 精靈時觸發。 |
| DEL_GROUP | GROUP_DELETION | 在使用者空間群組遭刪除時觸發 |
| 待處理 | USER_DELETION | 在刪除使用者空間使用者時觸發 |
| EXECVE | PROCESS_LAUNCH | 觸發記錄 execve(2) 系統呼叫的引數。 |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | 當 SELinux 布林值變更時觸發。 |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 偵測到 IPSec 事件或 IPSec 設定變更時,系統會觸發這項記錄,記錄相關資訊。 |
| MAC_POLICY_LOAD | GENERIC_EVENT | 載入 SELinux 政策檔案時觸發。 |
| MAC_STATUS | GENERIC_EVENT | 當 SELinux 模式 (強制執行、寬鬆、關閉) 變更時,系統會觸發這項事件。 |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 使用 NetLabel 提供的核心封包標籤功能時,如果新增靜態標籤,就會觸發這項事件。 |
| NETFILTER_CFG | GENERIC_EVENT | 偵測到 Netfilter 鏈結修改時觸發。 |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | 觸發記錄信號傳送至的程序相關資訊。 |
| PATH | FILE_OPEN/GENERIC_EVENT | 觸發記錄檔案名稱路徑資訊。 |
| SELINUX_ERR | GENERIC_EVENT | 偵測到內部 SELinux 錯誤時觸發。 |
| SERVICE_START | SERVICE_START | 在服務啟動時觸發。 |
| SERVICE_STOP | SERVICE_STOP | 服務停止時觸發。 |
| SYSCALL | GENERIC_EVENT | 觸發記錄核心的系統呼叫。 |
| SYSTEM_BOOT | STATUS_STARTUP | 系統啟動時觸發。 |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | 系統的執行層級變更時觸發。 |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | 系統關機時觸發。 |
| USER_ACCT | SETTING_MODIFICATION | 在使用者空間使用者帳戶遭到修改時觸發。 |
| USER_AUTH | USER_LOGIN | 偵測到使用者空間驗證嘗試時觸發。 |
| USER_AVC | USER_UNCATEGORIZED | 在產生使用者空間 AVC 訊息時觸發。 |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | 在使用者帳戶屬性修改時觸發。 |
| USER_CMD | USER_COMMUNICATION | 在執行使用者空間的殼層指令時觸發。 |
| USER_END | USER_LOGOUT | 在使用者空間工作階段終止時觸發。 |
| USER_ERR | USER_UNCATEGORIZED | 在系統偵測到使用者帳戶狀態錯誤時觸發。 |
| USER_LOGIN | USER_LOGIN | 在使用者登入時觸發。 |
| USER_LOGOUT | USER_LOGOUT | 在使用者登出時觸發。 |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | 使用者空間精靈載入 SELinux 政策時觸發。 |
| USER_MGMT | USER_UNCATEGORIZED | 觸發記錄使用者空間管理資料。 |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | 在使用者 SELinux 角色變更時觸發。 |
| USER_START | USER_LOGIN | 在使用者空間工作階段啟動時觸發。 |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | 偵測到使用者空間系統設定變更時觸發。 |
| VIRT_CONTROL | STATUS_UPDATE | 在虛擬機器啟動、暫停或停止時觸發。 |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | 觸發記錄標籤與虛擬機器的繫結。 |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | 觸發記錄虛擬機器的資源指派作業。 |
郵件
將郵件記錄欄位對應至 UDM 欄位
下表列出郵件記錄類型的記錄欄位,以及對應的 UDM 欄位。
| 記錄欄位 | UDM 欄位 |
|---|---|
| 類別 | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| 從 | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| 轉接 | intermediary.hostname
intermediary.ip |
| 大小 | network.received_bytes |
| Stat | security_result.summary |
| 到 | network.email.to |
郵件記錄類型對應的 UDM 事件類型
下表列出郵件記錄類型和對應的 UDM 事件類型。
| 郵件記錄類型 | UDM 事件類型 |
|---|---|
| sendmail | 最新狀態 |
| pickup | EMAIL_UNCATEGORIZED |
| 清除 | 最新狀態 |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | 最新狀態 |
| local | EMAIL_UNCATEGORIZED |
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。