OSSEC-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie OSSEC-Logs erfassen können, indem Sie OSSEC und einen Google Security Operations-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Protokolltypen und die unterstützte OSSEC-Version aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Übersicht
Das folgende Diagramm zur Bereitstellungsarchitektur zeigt, wie OSSEC-Agents und ‑Server konfiguriert sind, um Logs an Google Security Operations zu senden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Linux-System. Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem OSSEC-Agent.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, auf dem der OSSEC-Agent installiert ist.
OSSEC-Agent: Der OSSEC-Agent erfasst Informationen vom Microsoft Windows- oder Linux-System und leitet sie an den OSSEC-Server weiter.
OSSEC-Server Der OSSEC-Server überwacht und empfängt Informationen von den OSSEC-Agents, analysiert die Logs und leitet sie an den Google Security Operations-Forwarder weiter.
Bindplane-Agent: Der Bindplane-Agent ruft Logs von osquery ab und sendet sie an Google SecOps.
Google Security Operations-Forwarder. Der Google Security Operations-Forwarder ist eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird und Syslog unterstützt. Der Google Security Operations-Forwarder leitet die Logs an Google Security Operations weiter.
Google Security Operations. Google Security Operations speichert und analysiert die Logs vom OSSEC-Server.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label OSSEC.
Hinweise
Prüfen Sie, ob der OSSEC-Agent auf den Microsoft Windows- oder Linux-Systemen installiert ist, die Sie überwachen möchten. Weitere Informationen zur Installation des OSSEC-Agents finden Sie unter OSSEC-Installation.
Verwenden Sie eine OSSEC-Version, die vom Google Security Operations-Parser unterstützt wird. Der Google Security Operations-Parser unterstützt OSSEC-Version 3.6.0.
Prüfen Sie, ob der OSSEC-Server auf dem zentralen Linux-Server installiert und konfiguriert ist.
Prüfen Sie, welche Logtypen vom Google Security Operations-Parser unterstützt werden. In der folgenden Tabelle sind die Produkte und Logdateipfade aufgeführt, die vom Google Security Operations-Parser unterstützt werden:
Betriebssystem Produkt Pfad der Logdatei Microsoft Windows Microsoft Windows Ereignisprotokolle Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux – OSSEC-Server OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
OSSEC-Agent und ‑Server sowie Google Security Operations-Forwarder konfigurieren
So konfigurieren Sie den OSSEC-Agent und -Server sowie den Google Security Operations-Forwarder:
Wenn Sie die von den Linux-Systemen generierten Logs überwachen möchten, erstellen Sie eine
ossec.conf-Datei, um die Konfiguration für die Log-Überwachung für den Agent anzugeben. Hier ist ein Beispiel für eine Konfigurationsdatei für den Agenten auf dem Linux-System:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Wenn Sie die von den Microsoft Windows-Systemen generierten Protokolle überwachen möchten, erstellen Sie eine
ossec.conf-Datei, um die Konfiguration für die Protokollüberwachung für den Agent anzugeben. Hier ist ein Beispiel für eine Konfigurationsdatei für den Agenten auf dem Microsoft Windows-System:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Wenn Sie die Logs vom OSSEC-Server über das Syslog-Protokoll an Google Security Operations weiterleiten möchten, erstellen Sie die OSSEC-Serverkonfigurationsdatei
syslog.confim folgenden Format:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Logs mit dem BindPlane-Agent an Google SecOps weiterleiten
- Installieren und richten Sie eine virtuelle Linux-Maschine ein.
- BindPlane-Agent unter Linux installieren und konfigurieren, um Logs an Google SecOps weiterzuleiten Weitere Informationen zur Installation und Konfiguration des Bindplane-Agents finden Sie in der Anleitung zur Installation und Konfiguration des Bindplane-Agents.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.
Unterstützte OSSEC-Logformate
Der OSSEC-Parser unterstützt Logs im SYSLOG+JSON-, SYSLOG- und SYSLOG+KV-Format.
Unterstützte OSSEC-Beispiellogs
SYSLOG+JSON:
2022 Jan 30 23: 13: 05 (wintest) 198.51.100.0->EventChannel { "win": { "system": { "providerName": "Microsoft-Windows-PowerShell", "providerGuid": "{A0C1853B-5C40-ABCD-1234-3CF1C58F985A}", "eventID": "4104", "version": "1", "level": "5", "task": "2", "opcode": "15", "keywords": "0x0", "systemTime": "2021-07-29T12:57:03.579362300Z", "eventRecordID": "150518739", "processID": "16520", "threadID": "6036", "channel": "Microsoft-Windows-PowerShell/Operational", "computer": "WINTEST.cbn.local", "severityValue": "VERBOSE", "message": "\\"Creating Scriptblock text (1 of 1):\\"" }, "eventdata": { "messageNumber": "1", "messageTotal": "1", "scriptBlockText": "$global:?", "scriptBlockId": "8d4870bf-4032-5432-1234-51ae1e6a05d5" } } }SYSLOG:
2024/04/02 15:31:58 ossec-testrule: INFO: Reading local decoder file.SYSLOG+KV:
2022 Jan 30 12:57:02 (ossectest) 198.51.100.0->/var/log/audit/audit.log type=LOGIN msg=audit(1627367436.123:8618732): pid=18281 uid=0 old-auid=1234967321 auid=996 tty=(none) old-ses=1234967321 ses=102952 res=1
Referenz zur Feldzuordnung
In diesem Abschnitt wird erläutert, wie der Google Security Operations-Parser Grok-Muster für Linux- und Microsoft Windows-Systeme anwendet und wie er OSSEC-Logfelder für jeden Logtyp UDM-Feldern (Unified Data Model) von Google Security Operations zuordnet.
Informationen zum Zuordnen von Referenzen für gängige Felder finden Sie unter Gängige Felder.
Referenzinformationen zu Protokollpfaden, Grok-Mustern für Beispielprotokolle, Ereignistypen und UDM-Feldern auf Linux-Systemen finden Sie in den folgenden Abschnitten:
Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern finden Sie unter Microsoft Windows-Ereignisdaten.
Gängige Felder
In der folgenden Tabelle sind die gängigen Protokollfelder und die entsprechenden UDM-Felder aufgeführt.
| Häufig verwendetes Logfeld | UDM-Feld |
|---|---|
| collected_time | metadata.collected_timestamp |
| Anwendung | principal.application |
| log | metadata.description |
| ip | target.ip oder principal.ip |
| Hostname | target.hostname oder principal.hostname |
Linux-System
In der folgenden Tabelle sind die Logpfade für Linux-Systeme, das Grok-Muster für Beispiel-Logs, der Ereignistyp und die UDM-Zuweisungen aufgeführt:
| Protokollpfad | Beispiellog | Grok-Muster | Ereignistyp | UDM-Zuordnung |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. log_level wird security_result.severity zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ wird „target.process.pid“ zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. client_port wird principal.port zugeordnet error_message wird security_result.description zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. log_level wird security_result.severity zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ wird „target.process.pid“ zugeordnet. error_message wird security_result.description zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. log_level wird security_result.severity zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ wird „target.process.pid“ zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. client_port wird principal.port zugeordnet error_message wird security_result.description zugeordnet. target.platform ist auf „LINUX“ festgelegt. referer_url wird network.http.referral_url zugeordnet. |
| /var/log/apache2/error.log | So Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „log_module“ wird „target.resource.name“ zugeordnet. log_level wird security_result.severity zugeordnet. „pid“ wird „target.process.parent_process.pid“ zugeordnet. „tid“ wird „target.process.pid“ zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. client_port wird principal.port zugeordnet error_message wird security_result.description zugeordnet. target_ip wird target.ip zugeordnet. referer_url wird network.http.referral_url zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. client_port wird principal.port zugeordnet connection_id wird network.session_id zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Sa 02.02.2019 00:30:55] Neue Anfrage: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. „request_id“ wird „security_result.detection_fields.(key/value)“ zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. client_port wird principal.port zugeordnet „pid“ wird „target.process.parent_process.pid“ zugeordnet. connection_id wird network.session_id zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. log_level wird security_result.severity zugeordnet. „request_id“ wird „security_result.detection_fields.(key/value)“ zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. client_port wird principal.port zugeordnet „pid“ wird „target.process.parent_process.pid“ zugeordnet. connection_id wird network.session_id zugeordnet. error_message wird security_result.description zugeordnet. file_path wird target.file.full_path zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | „client_ip“ wird „principal.ip“ zugeordnet. „userid“ wird „principal.user.userid“ zugeordnet. „host“ wird „principal.hostname“ zugeordnet. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. Die Methode wird network.http.method zugeordnet. Die Ressource wird principal.resource.name zugeordnet. client_protocol wird network.application_protocol zugeordnet. result_status wird network.http.response_code zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. referer_url wird network.http.referral_url zugeordnet. user_agent wird network.http.user_agent zugeordnet. network.ip_protocol ist auf „TCP“ festgelegt. network.direction ist auf „OUTBOUND“ festgelegt. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host wird target.hostname zugeordnet. target_port wird target.port zugeordnet. „client_ip“ wird „principal.ip“ zugeordnet. „userid“ wird „principal.user.userid“ zugeordnet. „host“ wird „principal.hostname“ zugeordnet. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. Die Methode wird network.http.method zugeordnet. Die Ressource wird principal.resource.name zugeordnet. result_status wird network.http.response_code zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. referer_url wird network.http.referral_url zugeordnet. user_agent wird network.http.user_agent zugeordnet. network.ip_protocol ist auf „TCP“ festgelegt. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. network.application_protocol ist auf „HTTP“ festgelegt. |
| /var/log/apache2/access.log | „http://192.0.2.1/test/first.html“ -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | Der Pfad ist target.url zugeordnet. referer_url wird network.http.referral_url zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf „LINUX“ festgelegt. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent wird network.http.user_agent zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf „LINUX“ festgelegt. network.application_protocol ist auf „HTTP“ festgelegt. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „Apache“ festgelegt metadata.product_name ist auf „Apache HTTP Server“ festgelegt. |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} – (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | „time“ wird „metadata.timestamp“ zugeordnet. „ip“ wird „target.ip“ zugeordnet. „principal_ip“ wird „principal.ip“ zugeordnet. „principal_user_userid“ wird „principal.user.userid“ zugeordnet. metadata_timestamp wird timestamp zugeordnet http_method wird network.http.method zugeordnet. resource_name wird principal.resource.name zugeordnet „protocol“ wird network.application_protocol = (HTTP) zugeordnet. response_code wird network.http.response_code zugeordnet. received_bytes wird network.sent_bytes zugeordnet. referer_url wird network.http.referral_url zugeordnet. user_agent wird network.http.user_agent zugeordnet. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „NGINX“ festgelegt. metadata.product_name ist auf „NGINX“ festgelegt. network.ip_protocol ist auf „TCP“ festgelegt. network.direction ist auf „OUTBOUND“ festgelegt. |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 wird „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:“{http_method} /(<optional_field>{resource_name}?) zugeordnet. {protocol}/1.1",host:"({target_ip}:{target_port})?" „bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})“ (bind() an ({target_ip}|[{target_ip}]):{target_port} fehlgeschlagen ({security_description})) "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id wird principal.process.pid zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. „debug“ wird „UNKNOWN_SEVERITY“ zugeordnet, „info“ wird „INFORMATIONAL“ zugeordnet, „notice“ wird „LOW“ zugeordnet, „warn“ wird „MEDIUM“ zugeordnet, „error“ wird „ERROR“ zugeordnet, „crit“ wird „CRITICAL“ zugeordnet und „alert“ wird „HIGH“ zugeordnet. „target_file_full_path“ wird „target.file.full_path“ zugeordnet. „principal_ip“ wird „principal.ip“ zugeordnet. target_hostname wird target.hostname zugeordnet. http_method wird network.http.method zugeordnet. resource_name wird principal.resource.name zugeordnet Das Protokoll ist „TCP“. target_ip wird target.ip zugeordnet. target_port wird target.port zugeordnet. security_description + security_result_description_2 wird security_result.description zugeordnet. „pid“ wird „principal.process.parent_process.pid“ zugeordnet. network.application_protocol ist auf „HTTP“ festgelegt. „timestamp“ wird %{year}/%{day}/%{month} %{time} zugeordnet. target.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „NGINX“ festgelegt. metadata.product_name ist auf „NGINX“ festgelegt. network.ip_protocol ist auf „TCP“ festgelegt. network.direction ist auf „OUTBOUND“ festgelegt. |
| var/log/rkhunter.log | [14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen | [<message_text>]{security_description} | STATUS_UPDATE | „time“ wird „metadata.timestamp“ zugeordnet. securtiy_description wird security_result.description zugeordnet. principal.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „RootKit Hunter“ festgelegt. metadata.product_name ist auf „RootKit Hunter“ festgelegt. |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description wird metadata.description zugeordnet. file_path wird target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet. principal.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „RootKit Hunter“ festgelegt. metadata.product_name ist auf „RootKit Hunter“ festgelegt. |
| var/log/rkhunter.log | ossec: File size reduced (inode remained): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | „time“ wird „metadata.timestamp“ zugeordnet. metadata_description wird metadata.description zugeordnet. file_path wird target.file.full_path zugeordnet. principal.platform ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „RootKit Hunter“ festgelegt. metadata.product_name ist auf „RootKit Hunter“ festgelegt. |
| /var/log/kern.log | 07.07. 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname wird „principal.hostname“ zugeordnet metadata_product_event_type ist „metadata.product_event_type“ zugeordnet. target_ip wird „target.ip“ zugeordnet. „principal_ip“ wird „principal.ip“ zugeordnet. target_user_userid wird „target.user.userid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/kern.log | 25. Okt. 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname wird „principal.hostname“ zugeordnet metadata_product_event_type ist „metadata.product_event_type“ zugeordnet. metadata_description wird „metadata.description“ zugeordnet. file_path wird „principal.process.file“ zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/kern.log | Apr 28 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname wird „principal.hostname“ zugeordnet metadata_product_event_type ist „metadata.product_event_type“ zugeordnet. metadata_description wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/kern.log | Apr 28 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | „timestamp“ wird „metadata.event_timestamp“ zugeordnet. principal_hostname wird „principal.hostname“ zugeordnet metadata_product_event_type ist „metadata.product_event_type“ zugeordnet. principal_asset_hardware_cpu_model wird „principal.asset.hardware.cpu_model“ zugeordnet. metadata_description wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. „cpu_model“ wird „principal.asset.hardware.cpu_model“ zugeordnet. |
| /var/log/syslog.log | 29. Jan. 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. http_method wird network.http.method zugeordnet. response_code wird network.http.response_code zugeordnet. Die Ressource ist „target.url“ zugeordnet. target_ip wird target.ip zugeordnet. received_bytes wird network.received_bytes zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. command_line wird principal.process.command_line zugeordnet. |
| /var/log/syslog.log | 26. Juli 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. log_level wird security_result.severity zugeordnet. Die Nachricht wird „metadata.description“ zugeordnet. command_line wird principal.process.command_line zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. target_ip wird target.ip zugeordnet. |
| /var/log/syslog.log | Jul 26 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. log_level wird security_result.severity zugeordnet. „description“ wird „security_result.description“ zugeordnet. command_line wird principal.process.command_line zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/syslog.log | 29. Januar 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. log_level wird security_result.severity zugeordnet. „description“ + „reason“ werden „security_result.description“ zugeordnet. command_line wird principal.process.command_line zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/syslog.log | 2. Mai 06:25:01 localhost apachectl[64942]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using ::1. Legen Sie die Direktive „ServerName“ global fest, um diese Meldung zu unterdrücken. | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. Die Nachricht wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. command_line wird principal.process.command_line zugeordnet. |
| /var/log/syslog.log | 2. Mai 00:00:45 localhost fstrim[64727]: /: 6.7 GiB (7205015552 Byte) gekürzt | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. Die Nachricht wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. command_line wird principal.process.command_line zugeordnet. |
| /var/log/syslog.log | 3. Mai, 10:14:37 Uhr localhost rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time wird metadata.collected_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. Die Nachricht wird „metadata.description“ zugeordnet. user_id wird principal.user.userid zugeordnet. command_line wird principal.process.command_line zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/syslog.log | 5. Mai 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time wird metadata.event_timestamp zugeordnet. hostname wird principal.hostname zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. Die Nachricht wird „metadata.description“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. command_line wird principal.process.command_line zugeordnet. |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname wird target.hostname zugeordnet. Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname wird target.hostname zugeordnet. Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname wird target.hostname zugeordnet. Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. resource_name wird target.resource.name zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname wird target.hostname zugeordnet. Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/mail.log | Apr 7 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname wird target.hostname zugeordnet. Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/mail.log | Apr 7 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname wird target.hostname zugeordnet. Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Verwenden Sie stattdessen „config.getProperty(key, targetClass)“. | [{timestamp}]{severity}{summary}\-{security_description}
, unter {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line wird „target.process.command_line“ zugeordnet. file_path wird „target.process.file.full_path“ zugeordnet. „timestamp“ wird „metadata.event_timestamp“ zugeordnet. Der Schweregrad wird „security_result.severity“ zugeordnet. Die Zusammenfassung wird „security_result.summary“ zugeordnet. security_description wird „security_result.description“ zugeordnet. metadata.product_name ist auf „OSSEC“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 27. Apr. 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_hostname „target.hostname“ zugeordnet. Andernfalls wird es „principal.hostname“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_application „target.application“ zugeordnet. Andernfalls wird es „principal.application“ zugeordnet. Wenn „metadata.event_type“ USER_LOGOUT ist, wird „pid“ „target.process.pid“ zugeordnet. Andernfalls wird „pid“ „principal.process.pid“ zugeordnet. security_description wird „security_result.description“ zugeordnet. network_session_id wird „network.session_id“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_user_userid „principal.user.userid“ zugeordnet. Andernfalls wird es „target.user.userid“ zugeordnet. „principal.platform“ wird „LINUX“ zugeordnet Wenn „removed_session“ wahr ist, wird „event_type“ auf USER_LOGOUT festgelegt. extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 28. Apr. 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_hostname „target.hostname“ zugeordnet. Andernfalls wird es „principal.hostname“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_application „target.application“ zugeordnet. Andernfalls wird es „principal.application“ zugeordnet. Wenn „metadata.event_type“ USER_LOGOUT ist, wird „pid“ „target.process.pid“ zugeordnet. Andernfalls wird „pid“ „principal.process.pid“ zugeordnet. security_description wird „security_result.description“ zugeordnet. network_session_id wird „network.session_id“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_user_userid „principal.user.userid“ zugeordnet. Andernfalls wird es „target.user.userid“ zugeordnet. „principal.platform“ wird „LINUX“ zugeordnet „network.application_protocol“ ist „SSH“ zugeordnet. if(new_session) event_type is set to USER_LOGIN extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | Apr 28 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_hostname „target.hostname“ zugeordnet. Andernfalls wird es „principal.hostname“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_application „target.application“ zugeordnet. Andernfalls wird es „principal.application“ zugeordnet. Wenn „metadata.event_type“ USER_LOGOUT ist, wird „pid“ „target.process.pid“ zugeordnet. Andernfalls wird „pid“ „principal.process.pid“ zugeordnet. security_description wird „security_result.description“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_user_userid „principal.user.userid“ zugeordnet. Andernfalls wird es „target.user.userid“ zugeordnet. „principal_ip“ wird „principal.ip“ zugeordnet. principal_port wird „principal.port“ zugeordnet. security_result_detection_fields_ssh_kv wird „security_result.detection_fields.key/value“ zugeordnet. security_result_detection_fields_kv wird „security_result.detection_fields.key/value“ zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt. „network.application_protocol“ ist auf „SSH“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_hostname „target.hostname“ zugeordnet. Andernfalls wird es „principal.hostname“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_application „target.application“ zugeordnet. Andernfalls wird es „principal.application“ zugeordnet. Wenn „metadata.event_type“ USER_LOGOUT ist, wird „pid“ „target.process.pid“ zugeordnet. Andernfalls wird „pid“ „principal.process.pid“ zugeordnet. security_description wird „security_result.description“ zugeordnet. „principal_user_uuserid“ wird „principal.user.attribute.labels“ zugeordnet. principal_user_attribute_labels_euid_kv wird „principal.user.attribute.labels.key/value“ zugeordnet. principal_ruser_userid wird „principal.user.attribute.labels.key/value“ zugeordnet. target_ip wird „target.ip“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_user_userid „principal.user.userid“ zugeordnet. Andernfalls wird es „target.user.userid“ zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt. „network.application_protocol“ ist auf „SSH“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 24. Februar 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „principal_hostname“ wird „principal.hostname“ zugeordnet. principal_application wird principal.application zugeordnet „pid“ wird „principal.process.pid“ zugeordnet. principal_user_userid wird target.user.userid zugeordnet. security_description wird „security_result.description“ zugeordnet. principal_process_command_line_1 wird „principal.process.command_line“ zugeordnet. principal_process_command_line_2 wird „principal.process.command_line“ zugeordnet. principal_user_attribute_labels_uid_kv wird „principal.user.attribute.labels.key/value“ zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt. |
| /var/log/auth.log | 26. Apr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_hostname „target.hostname“ zugeordnet. Andernfalls wird es „principal.hostname“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_application „target.application“ zugeordnet. Andernfalls wird es „principal.application“ zugeordnet. Wenn „metadata.event_type“ USER_LOGOUT ist, wird „pid“ „target.process.pid“ zugeordnet. Andernfalls wird „pid“ „principal.process.pid“ zugeordnet. security_description wird „security_result.description“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_user_userid „principal.user.userid“ zugeordnet. Andernfalls wird es „target.user.userid“ zugeordnet. principal_user_attribute_labels_uid_kv wird „principal.user.attribute.labels.key/value“ zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt. „network.application_protocol“ ist auf „SSH“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 26. Apr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | „timestamp“ wird „metadata.timestamp“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_hostname „target.hostname“ zugeordnet. Andernfalls wird es „principal.hostname“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_application „target.application“ zugeordnet. Andernfalls wird es „principal.application“ zugeordnet. Wenn „metadata.event_type“ USER_LOGOUT ist, wird „pid“ „target.process.pid“ zugeordnet. Andernfalls wird „pid“ „principal.process.pid“ zugeordnet. security_description wird „security_result.description“ zugeordnet. Wenn metadata.event_type USER_LOGOUT ist, wird principal_user_userid „principal.user.userid“ zugeordnet. Andernfalls wird es „target.user.userid“ zugeordnet. principal_user_attribute_labels_uid_kv wird principal.user.attribute.labels.key/value zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| /var/log/auth.log | 24. Mai 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „principal_hostname“ wird „principal.hostname“ zugeordnet. principal_application wird principal.application zugeordnet „pid“ wird „principal.process.pid“ zugeordnet. security_result_description wird security_result_description zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt. metadata.vendor_name ist auf OSSEC festgelegt. metadata.product_name ist auf OSSEC festgelegt. |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. principal_user_attribute_labels_kv wird „principal.user.attribute.labels“ zugeordnet. principal_group_attribute_labels_kv wird „principal.group.attribute.labels“ zugeordnet. principal_user_userid wird „principal.user.userid“ zugeordnet. principal_group_product_object_id wird „principal.group.product_object_id“ zugeordnet. security_description wird „security_result.description“ zugeordnet. metadata_description wird „metadata.description“ zugeordnet. metadata.product_name ist auf „OSSEC“ festgelegt. „metadata.vendor_name“ ist auf „OSSEC“ festgelegt. |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name ist auf „OSSEC“ festgelegt. metadata.vendor_name“ ist auf „OSSEC“ festgelegt user_id wird principal.user.userid zugeordnet. „desc“ wird „metadata.description“ zugeordnet. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | „timestamp“ wird „metadata.timestamp“ zugeordnet. log_level wird security_result.severity zugeordnet. local_ip wird principal.ip zugeordnet. target_ip wird target.ip zugeordnet. target_hostname wird principal.hostname zugeordnet. Der Port ist „target.port“ zugeordnet. Der Nutzer wird principal.user.user_display_name zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. log_level wird security_result.severity zugeordnet. msg wird security_result.description zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
Die Nachricht wird <message_text> mit[<message_text>]<message_text>:{port}<message_text> zugeordnet. |
STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. log_level wird security_result.severity zugeordnet. Die Nachricht wird security_result.description zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. log_level wird security_result.severity zugeordnet. Die Nachricht wird security_result.description zugeordnet. Der Nutzer wird principal.user.user_display_name zugeordnet. Die IP-Adresse ist „principal.ip“ zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | „timestamp“ wird „metadata.timestamp“ zugeordnet. log_level wird security_result.severity zugeordnet. Die Nachricht wird security_result.description zugeordnet. Die Zusammenfassung wird „security_result.summary“ zugeordnet. „user_name“ wird „principal.user.user_display_name“ zugeordnet. „cli“ wird „principal.process.command_line“ zugeordnet. Der Status wird principal.user.user_authentication_status zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType im aktuellen Tab „Audit-Log“ – Tab „EventType-Zuordnung“ | „audit_log_type“ wird „metadata.product_event_type“ zugeordnet. „metadata_ingested_timestamp“ wird „metadata.event_timestamp“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.plateform ist auf „LINUX“ festgelegt. Daten werden Schlüssel/Wert-Paaren zugeordnet –> UDM-Zuordnung auf dem Tab „audit.log“ des aktuellen Arbeitsblatts |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. metadata_description wird metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. command_line wird target.process.command_line zugeordnet. metadata_description wird metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. metadata_description wird metadata.description zugeordnet. Die Ressource wird target.resource.name zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. file_path wird target.file.full_path zugeordnet. metadata_description wird metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. file_path wird target.file.full_path zugeordnet. metadata.vendor_name ist auf OSSEC festgelegt. metadata.product_name ist auf OSSEC festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. metadata_description wird metadata.description zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. file_path wird target.file.full_path zugeordnet. metadata_description wird metadata.description zugeordnet. „error_code“ wird „security_result.summary“ zugeordnet. error_metadata_description wird security_result.summary zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. metadata_description wird metadata.description zugeordnet. Der Port ist „target.port“ zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. metadata_description wird metadata.description zugeordnet. file_path wird target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | Die Anwendung wird „target.application“ zugeordnet. „pid“ wird „target.process.pid“ zugeordnet. Der Schweregrad wird security_result.severity zugeordnet. file_path wird target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. |
| ntpd-Prozess | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | Das Protokoll wird network.ip_protocol zugeordnet. „pid“ wird „principal.process.pid“ zugeordnet. metadata.description ist auf „Program name: %{process_name}“ festgelegt. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
| syscheck | Datei „/usr/bin/fwts“ geändert | Datei „{file_path}“ {description} | FILE_MODIFICATION | Die Beschreibung wird metadata.description zugeordnet. file_path wird target.file.full_path zugeordnet. metadata.vendor_name ist auf „OSSEC“ festgelegt. metadata.product_name ist auf „OSSEC“ festgelegt. principal.platform ist auf „LINUX“ festgelegt. |
Audit
Audit-Log-Felder zu UDM-Feldern
In der folgenden Tabelle sind die Logfelder des Audit-Log-Typs und die entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Konto | target.user.user_display_name |
| addr | principal.ip |
| arch | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| CMD | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| Daten | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| Familie | network.ip_protocol wird auf „IP6IN4“ gesetzt, wenn „ip_protocol“ == 2. Andernfalls wird es auf „UNKNOWN_IP_PROTOCOL“ gesetzt. |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| Hostname | target.hostname |
| icmptype | network.ip_protocol ist auf „ICMP“ festgelegt. |
| id | Wenn [audit_log_type] == „ADD_USER“, wird target.user.userid auf „%{id}“ gesetzt.
Wenn [audit_log_type] == „ADD_GROUP“, wird target.group.product_object_id auf „%{id}“ festgelegt. andernfalls wird target.user.attribute.labels.key/value auf „id“ festgelegt. |
| Inode | target.resource.product_object_id |
| Schlüssel | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| Modus | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| Name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| Pfad | target.file.full_path |
| Dauerwelle | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| Proto | Wenn [ip_protocol] == 2, wird network.ip_protocol auf „IP6IN4“ gesetzt.
else network.ip_protocol is set to "UNKNOWN_IP_PROTOCOL" |
| res | security_result.summary |
| Ergebnis | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| Erfolgreich | Wenn success=='yes', wird securtiy_result.summary auf 'system call was successful' gesetzt.
andernfalls wird securtiy_result.summary auf „systemcall was failed“ gesetzt. |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| Terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] auf principal.user.userid festgelegt ist
andernfalls wird „uid“ auf „target.user.userid“ festgelegt. |
| vm | target.resource.name |
Audit-Log-Typen für UDM-Ereignistypen
In der folgenden Tabelle sind die Audit-Log-Typen und die entsprechenden UDM-Ereignistypen aufgeführt.
| Audit-Logtyp | UDM-Ereignistyp | Beschreibung |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Wird ausgelöst, wenn eine Gruppe für Nutzerbereiche hinzugefügt wird. |
| ADD_USER | USER_CREATION | Wird ausgelöst, wenn ein Nutzerkonto im Nutzerbereich hinzugefügt wird. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Wird ausgelöst, wenn ein Prozess abnormal beendet wird (mit einem Signal, das bei Aktivierung einen Core-Dump verursachen könnte). |
| AVC | GENERIC_EVENT | Wird ausgelöst, um eine SELinux-Berechtigungsprüfung aufzuzeichnen. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn die Konfiguration des Auditsystems geändert wird. |
| CRED_ACQ | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich erhält. |
| CRED_DISP | USER_LOGOUT | Wird ausgelöst, wenn ein Nutzer Anmeldedaten im Nutzerbereich löscht. |
| CRED_REFR | USER_LOGIN | Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Kennung des kryptografischen Schlüssels aufzuzeichnen, der für kryptografische Zwecke verwendet wird. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Wird ausgelöst, um Parameter aufzuzeichnen, die während des Aufbaus einer TLS-Sitzung festgelegt wurden. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wurde ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen. |
| DAEMON_ABORT | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird. |
| DAEMON_END | PROCESS_TERMINATION | Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der Auditd-Daemon die Protokollierung fortsetzt. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Wird ausgelöst, wenn der Auditd-Daemon die Audit-Logdateien rotiert. |
| DAEMON_START | PROCESS_LAUNCH | Wird ausgelöst, wenn der Auditd-Daemon gestartet wird. |
| DEL_GROUP | GROUP_DELETION | Wird ausgelöst, wenn eine Gruppe im Nutzerbereich gelöscht wird |
| Ausstehend | USER_DELETION | Wird ausgelöst, wenn ein Nutzer im Nutzerbereich gelöscht wird |
| EXECVE | PROCESS_LAUNCH | Wird ausgelöst, um Argumente des Systemaufrufs „execve(2)“ aufzuzeichnen. |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn eines erkannt wird oder wenn sich die IPSec-Konfiguration ändert. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird. |
| MAC_STATUS | GENERIC_EVENT | Wird ausgelöst, wenn der SELinux-Modus (erzwingen, zulässig, aus) geändert wird. |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, wenn ein statisches Label hinzugefügt wird, wenn die Paketlabeling-Funktionen des vom NetLabel bereitgestellten Kernels verwendet werden. |
| NETFILTER_CFG | GENERIC_EVENT | Wird ausgelöst, wenn Änderungen an der Netfilter-Kette erkannt werden. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Wird ausgelöst, um Informationen zu einem Prozess aufzuzeichnen, an den ein Signal gesendet wird. |
| PFAD | FILE_OPEN/GENERIC_EVENT | Wird ausgelöst, um Informationen zum Dateinamenpfad aufzuzeichnen. |
| SELINUX_ERR | GENERIC_EVENT | Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird. |
| SERVICE_START | SERVICE_START | Wird ausgelöst, wenn ein Dienst gestartet wird. |
| SERVICE_STOP | SERVICE_STOP | Wird ausgelöst, wenn ein Dienst beendet wird. |
| SYSCALL | GENERIC_EVENT | Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen. |
| SYSTEM_BOOT | STATUS_STARTUP | Wird ausgelöst, wenn das System hochgefahren wird. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Wird ausgelöst, wenn sich die Ausführungsebene des Systems ändert. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Wird ausgelöst, wenn das System heruntergefahren wird. |
| USER_ACCT | SETTING_MODIFICATION | Wird ausgelöst, wenn ein Nutzerkonto im Nutzerbereich geändert wird. |
| USER_AUTH | USER_LOGIN | Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird. |
| USER_AVC | USER_UNCATEGORIZED | Wird ausgelöst, wenn eine AVC-Nachricht für den Nutzerbereich generiert wird. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn ein Attribut eines Nutzerkontos geändert wird. |
| USER_CMD | USER_COMMUNICATION | Wird ausgelöst, wenn ein Shell-Befehl im Nutzerbereich ausgeführt wird. |
| USER_END | USER_LOGOUT | Wird ausgelöst, wenn eine Sitzung im Nutzerbereich beendet wird. |
| USER_ERR | USER_UNCATEGORIZED | Wird ausgelöst, wenn ein Fehler im Status eines Nutzerkontos erkannt wird. |
| USER_LOGIN | USER_LOGIN | Wird ausgelöst, wenn sich ein Nutzer anmeldet |
| USER_LOGOUT | USER_LOGOUT | Wird ausgelöst, wenn sich ein Nutzer abmeldet |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Wird ausgelöst, wenn ein Nutzerbereichs-Daemon eine SELinux-Richtlinie lädt. |
| USER_MGMT | USER_UNCATEGORIZED | Wird ausgelöst, um Verwaltungsdaten für den Nutzerbereich aufzuzeichnen. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird. |
| USER_START | USER_LOGIN | Wird ausgelöst, wenn eine Nutzerspace-Sitzung gestartet wird. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Wird ausgelöst, wenn eine Änderung der Systemkonfiguration des Nutzerbereichs erkannt wird. |
| VIRT_CONTROL | STATUS_UPDATE | Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Wird ausgelöst, um die Ressourcenzuweisung einer virtuellen Maschine aufzuzeichnen. |
Mail-Log-Felder UDM-Feldern zuordnen
In der folgenden Tabelle sind die Logfelder des E-Mail-Logtyps und die entsprechenden UDM-Felder aufgeführt.
| Logfeld | UDM-Feld |
|---|---|
| Klasse | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| Von | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Relay | intermediary.hostname
intermediary.ip |
| Größe | network.received_bytes |
| Statistik | security_result.summary |
| bis | network.email.to |
E‑Mail-Logtypen für UDM-Ereignistyp
In der folgenden Tabelle sind die E-Mail-Logtypen und die entsprechenden UDM-Ereignistypen aufgeführt.
| E‑Mail-Logtyp | UDM-Ereignistyp |
|---|---|
| sendmail | GENERIC_EVENT |
| Abholung | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| lokal | EMAIL_UNCATEGORIZED |
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten