Raccogliere i log OSSEC

Supportato in:

Questo documento descrive come raccogliere i log OSSEC configurando OSSEC e un programma di inoltro di Google Security Operations. Questo documento elenca anche i tipi di log supportati e la versione OSSEC supportata.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Panoramica

Il seguente diagramma dell'architettura di deployment mostra come vengono configurati gli agent OSSEC e i server per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa.

Architettura di deployment

Il diagramma dell'architettura mostra i seguenti componenti:

  • Sistema Linux. Il sistema Linux da monitorare. Il sistema Linux è costituito dai file da monitorare e dall'agente OSSEC.

  • Sistema Microsoft Windows. Il sistema Microsoft Windows da monitorare in cui è installato l'agente OSSEC.

  • Agente OSSEC. L'agente OSSEC raccoglie informazioni dal sistema Microsoft Windows o Linux e le inoltra al server OSSEC.

  • Server OSSEC. Il server OSSEC monitora e riceve informazioni dagli agenti OSSEC, analizza i log e li inoltra al forwarder di Google Security Operations.

  • Agente Bindplane: l'agente Bindplane recupera i log da osquery e li invia a Google SecOps.

  • Google Security Operations forwarder. Il forwarder Google Security Operations è un componente software leggero, distribuito nella rete del cliente, che supporta syslog. Il programma di inoltro di Google Security Operations inoltra i log a Google Security Operations.

  • Google Security Operations. Google Security Operations conserva e analizza i log del server OSSEC.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione OSSEC.

Prima di iniziare

  • Assicurati che l'agente OSSEC sia installato sui sistemi Microsoft Windows o Linux che intendi monitorare. Per maggiori informazioni sull'installazione dell'agente OSSEC, vedi Installazione di OSSEC.

  • Utilizza una versione di OSSEC supportata dal parser Google Security Operations. Il parser di Google Security Operations supporta OSSEC versione 3.6.0.

  • Assicurati che il server OSSEC sia installato e configurato sul server Linux centrale.

  • Verifica i tipi di log supportati dal parser di Google Security Operations. La tabella seguente elenca i prodotti e i percorsi dei file di log supportati dal parser Google Security Operations:

    Sistema operativo Prodotto Percorso del file di log
    Microsoft Windows Microsoft Windows Log eventi
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux Linux /var/log/ulog/syslogemu.log
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux OpenVpn /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux rkhunter /var/log/rkhunter.log
    Linux - OSSEC Server OSSEC /var/ossec/logs/ossec.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/rundeck.api.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

Configura l'agente e il server OSSEC e l'inoltro di Google Security Operations

Per configurare l'agente e il server OSSEC e il forwarder Google Security Operations, procedi nel seguente modo:

  1. Per monitorare i log generati dai sistemi Linux, crea un file ossec.conf per specificare la configurazione del monitoraggio dei log per l'agente. Ecco un esempio di file di configurazione per l'agente sul sistema Linux:

    <ossec_config>

<!-- Files to monitor (localfiles) -->
<localfile>
 <log_format>syslog</log_format>
 <location>/var/ossec/logs/ossec.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/auth.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/kern.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/mail.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/syslog</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/error.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/other_vhost_access.log</location>
</localfile>

<localfile>
 <log_format>apache</log_format>
 <location>/var/log/apache2/nonvnc-server-access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/access.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/nginx/error.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/openvpnas.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rkhunter.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/rundeck/service.log</location>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/samba/log.winbindd</location>
</localfile>

<localfile>
 <log_format>command</log_format>
 <command>df -P</command>
</localfile>

<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/audit/audit.log</location>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command>
</localfile>

<localfile>
 <log_format>full_command</log_format>
 <command>last -n 5</command>
</localfile>
</ossec_config>

  2. Per monitorare i log generati dai sistemi Microsoft Windows, crea un file ossec.conf per specificare la configurazione di monitoraggio dei log per l'agente. Ecco un esempio di file di configurazione per l'agente sul sistema Microsoft Windows:

    <ossec_config>
<!-- Channels to monitor (localfiles) -->
<localfile>
 <log_format>Security</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>System</log_format>
 <location>eventchannel</location>
</localfile>

<localfile>
 <log_format>Application</log_format>
 <location>eventchannel</location>
</localfile>
</ossec_config>

  3. Per inoltrare i log dal server OSSEC a Google Security Operations utilizzando il protocollo syslog, crea il file di configurazione del server OSSEC syslog.conf nel seguente formato:

    .*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>

  4. Configura il forwarder Google Security Operations per inviare i log a Google Security Operations. Per maggiori informazioni, vedi Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione dell'agente di inoltro di Google Security Operations:

      - syslog:
      common:
        enabled: true
        data_type: OSSEC
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10514
      connection_timeout_sec: 60

Inoltrare i log a Google SecOps utilizzando l'agente Bindplane

  1. Installa e configura una macchina virtuale Linux.
  2. Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per ulteriori informazioni su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Formati dei log OSSEC supportati

Il parser OSSEC supporta i log in formato SYSLOG+JSON, SYSLOG e SYSLOG+KV.

Log di esempio OSSEC supportati

  • SYSLOG+JSON:

    2022 Jan 30 23: 13: 05 (wintest) 198.51.100.0->EventChannel {
  "win": {
    "system": {
      "providerName": "Microsoft-Windows-PowerShell",
      "providerGuid": "{A0C1853B-5C40-ABCD-1234-3CF1C58F985A}",
      "eventID": "4104",
      "version": "1",
      "level": "5",
      "task": "2",
      "opcode": "15",
      "keywords": "0x0",
      "systemTime": "2021-07-29T12:57:03.579362300Z",
      "eventRecordID": "150518739",
      "processID": "16520",
      "threadID": "6036",
      "channel": "Microsoft-Windows-PowerShell/Operational",
      "computer": "WINTEST.cbn.local",
      "severityValue": "VERBOSE",
      "message": "\\"Creating Scriptblock text (1 of 1):\\""
    },
    "eventdata": {
      "messageNumber": "1",
      "messageTotal": "1",
      "scriptBlockText": "$global:?",
      "scriptBlockId": "8d4870bf-4032-5432-1234-51ae1e6a05d5"
    }
  }
}

  • SYSLOG:

    2024/04/02 15:31:58 ossec-testrule: INFO: Reading local decoder file.

  • SYSLOG+KV:

    2022 Jan 30 12:57:02 (ossectest) 198.51.100.0->/var/log/audit/audit.log type=LOGIN msg=audit(1627367436.123:8618732): pid=18281 uid=0 old-auid=1234967321 auid=996 tty=(none) old-ses=1234967321 ses=102952 res=1

Riferimento alla mappatura dei campi

Questa sezione spiega in che modo il parser di Google Security Operations applica i pattern grok per i sistemi Linux e Microsoft Windows e in che modo mappa i campi dei log OSSEC ai campi del modello unificato dei dati (UDM) di Google Security Operations per ogni tipo di log.

Per informazioni sul mapping dei riferimenti dei campi comuni, vedi Campi comuni.

Per informazioni di riferimento su percorsi dei log, pattern grok per log di esempio, tipi di eventi e campi UDM sui sistemi Linux, consulta le seguenti sezioni:

Per informazioni sugli eventi Microsoft Windows supportati e sui campi UDM corrispondenti, vedi Dati degli eventi Microsoft Windows.

Campi comuni

La tabella seguente elenca i campi di log comuni e i campi UDM corrispondenti.

Campo log comune Campo UDM
collected_time metadata.collected_timestamp
applicazione principal.application
log metadata.description
ip target.ip o principal.ip
nome host target.hostname o principal.hostname

Sistema Linux

La tabella seguente elenca i percorsi dei log per il sistema Linux, il pattern grok per i log di esempio, il tipo di evento e i mapping UDM:

Percorso del log Log di esempio Pattern Grok Tipo di evento Mappatura UDM
/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

timestamp è mappato a metadata.event_timestamp

log_module è mappato a target.resource.name

log_level è mappato a security_result.severity

pid è mappato a target.process.parent_process.pid

tid è mappato a target.process.pid

client_ip è mappato su principal.ip

client_port è mappato a principal.port

error_message è mappato a security_result.description

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

timestamp è mappato a metadata.event_timestamp

log_module è mappato a target.resource.name

log_level è mappato a security_result.severity

pid è mappato a target.process.parent_process.pid

tid è mappato a target.process.pid

error_message è mappato a security_result.description

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/error.log [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

timestamp è mappato a metadata.event_timestamp

log_module è mappato a target.resource.name

log_level è mappato a security_result.severity

pid è mappato a target.process.parent_process.pid

tid è mappato a target.process.pid

client_ip è mappato su principal.ip

client_port è mappato a principal.port

error_message è mappato a security_result.description

target.platform è impostato su "LINUX"

referer_url è mappato a network.http.referral_url

/var/log/apache2/error.log [Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" NETWORK_HTTP

timestamp è mappato a metadata.event_timestamp

log_module è mappato a target.resource.name

log_level è mappato a security_result.severity

pid è mappato a target.process.parent_process.pid

tid è mappato a target.process.pid

client_ip è mappato su principal.ip

client_port è mappato a principal.port

error_message è mappato a security_result.description

target_ip è mappato su target.ip

referer_url è mappato a network.http.referral_url

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp è mappato a metadata.event_timestamp

client_ip è mappato su principal.ip

client_port è mappato a principal.port

connection_id è mappato a network.session_id

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

timestamp è mappato a metadata.event_timestamp

request_id è mappato a security_result.detection_fields.(key/value)

client_ip è mappato su principal.ip

client_port è mappato a principal.port

pid è mappato a target.process.parent_process.pid

connection_id è mappato a network.session_id

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/error.log [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

timestamp è mappato a metadata.event_timestamp

log_level è mappato a security_result.severity

request_id è mappato a security_result.detection_fields.(key/value)

client_ip è mappato su principal.ip

client_port è mappato a principal.port

pid è mappato a target.process.parent_process.pid

connection_id è mappato a network.session_id

error_message è mappato a security_result.description

file_path è mappato a target.file.full_path

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/access.log 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? NETWORK_HTTP

client_ip è mappato su principal.ip

userid è mappato a principal.user.userid

host è mappato a principal.hostname

timestamp è mappato a metadata.event_timestamp

method è mappato a network.http.method

resource è mappato a principal.resource.name

client_protocol è mappato a network.application_protocol

result_status è mappato a network.http.response_code

object_size è mappato a network.sent_bytes

referer_url è mappato a network.http.referral_url

user_agent è mappato a network.http.user_agent

network.ip_protocol è impostato su "TCP"

network.direction è impostato su "OUTBOUND"

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

var/log/apache2/other_vhosts_access.log wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) NETWORK_HTTP

target_host è mappato a target.hostname

target_port è mappato a target.port

client_ip è mappato su principal.ip

userid è mappato a principal.user.userid

host è mappato a principal.hostname

timestamp è mappato a metadata.event_timestamp

method è mappato a network.http.method

resource è mappato a principal.resource.name

result_status è mappato a network.http.response_code

object_size è mappato a network.sent_bytes

referer_url è mappato a network.http.referral_url

user_agent è mappato a network.http.user_agent

network.ip_protocol è impostato su "TCP"

network.direction è impostato su "OUTBOUND"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

network.application_protocol è impostato su "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /altostrat.com (<optional_field>{referer_url}?)->(<optional_field>{path}?) GENERIC_EVENT

path è mappato a target.url

referer_url è mappato a network.http.referral_url

network.direction è impostato su "OUTBOUND"

target.platform è impostato su "LINUX"

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<optional_field>{user_agent}) GENERIC_EVENT

user_agent è mappato a network.http.user_agent

network.direction è impostato su "OUTBOUND"

target.platform è impostato su "LINUX"

network.application_protocol è impostato su "HTTP"

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "Apache"

metadata.product_name è impostato su "Apache HTTP Server"

var/log/nginx/access.log 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? NETWORK_HTTP

time è mappato a metadata.timestamp

ip è mappato su target.ip

principal_ip è mappato su principal.ip

principal_user_userid è mappato a principal.user.userid

metadata_timestamp è mappato a timestamp

http_method è mappato a network.http.method

resource_name è mappato a principal.resource.name

protocol is mapped to network.application_protocol = (HTTP)

response_code è mappato a network.http.response_code

received_bytes è mappato a network.sent_bytes

referer_url è mappato a network.http.referral_url

user_agent è mappato a network.http.user_agent

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "NGINX"

metadata.product_name è impostato su "NGINX"

network.ip_protocol è impostato su "TCP"

network.direction è impostato su "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 è mappato a "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

NETWORK_HTTP

thread_id è mappato a principal.process.pid

severity è mappato a security_result.severity

(debug è mappato su UNKNOWN_SEVERITY, info è mappato su INFORMATIONAL, notice è mappato su LOW, warn è mappato su MEDIUM, error è mappato su ERROR, crit è mappato su CRITICAL, alert è mappato su HIGH)

target_file_full_path è mappato a target.file.full_path

principal_ip è mappato su principal.ip

target_hostname è mappato a target.hostname

http_method è mappato a network.http.method

resource_name è mappato a principal.resource.name

protocol è mappato su "TCP"

target_ip è mappato su target.ip

target_port è mappato a target.port

security_description + security_result_description_2 è mappato a security_result.description

pid è mappato a principal.process.parent_process.pid

network.application_protocol è impostato su "HTTP"

timestamp è mappato a %{year}/%{day}/%{month} %{time}

target.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "NGINX"

metadata.product_name è impostato su "NGINX"

network.ip_protocol è impostato su "TCP"

network.direction è impostato su "OUTBOUND"

var/log/rkhunter.log [14:10:40] Controllo dei comandi obbligatori non riuscito [<message_text>]{security_description} STATUS_UPDATE

time è mappato a metadata.timestamp

security_description è mappato a security_result.description

principal.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "RootKit Hunter"

metadata.product_name è impostato su "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Controllo del file "/dev/.oz/.nap/rkit/terror" [Non trovato ] [<message_text>] {security_description} {file_path}[{metadata_description}] FILE_UNCATEGORIZED

metadata_description è mappato a metadata.description

file_path è mappato a target.file.full_path

security_description è mappato a security_result.description

principal.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "RootKit Hunter"

metadata.product_name è impostato su "RootKit Hunter"

var/log/rkhunter.log ossec: File size reduced (inode remained): '/var/log/rkhunter.log'. (<optional_field><message_text>:){metadata_description}:'{file_path}' FILE_UNCATEGORIZED

time è mappato a metadata.timestamp

metadata_description è mappato a metadata.description

file_path è mappato a target.file.full_path

principal.platform è impostato su "LINUX"

metadata.vendor_name è impostato su "RootKit Hunter"

metadata.product_name è impostato su "RootKit Hunter"

/var/log/kern.log 7 luglio 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} NETWORK_CONNECTION Il timestamp è mappato a "metadata.event_timestamp"

principal_hostname è mappato a "principal.hostname"

metadata_product_event_type è mappato a "metadata.product_event_type"

target_ip è mappato a "target.ip"

principal_ip è mappato a "principal.ip"

target_user_userid è mappato a "target.user.userid"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

/var/log/kern.log 25 ott 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} STATUS_UPDATE Il timestamp è mappato a "metadata.event_timestamp"

principal_hostname è mappato a "principal.hostname"

metadata_product_event_type è mappato a "metadata.product_event_type"

metadata_description è mappato a "metadata.description"

file_path è mappato a "principal.process.file"

pid è mappato a "principal.process.pid"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

/var/log/kern.log 28 apr 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} STATUS_UPDATE Il timestamp è mappato a "metadata.event_timestamp"

principal_hostname è mappato a "principal.hostname"

metadata_product_event_type è mappato a "metadata.product_event_type"

metadata_description è mappato a "metadata.description"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

/var/log/kern.log 28 apr 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_UPDATE Il timestamp è mappato a "metadata.event_timestamp"

principal_hostname è mappato a "principal.hostname"

metadata_product_event_type è mappato a "metadata.product_event_type"

principal_asset_hardware_cpu_model è mappato a "principal.asset.hardware.cpu_model"

metadata_description è mappato a "metadata.description"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

cpu_model è mappato a principal.asset.hardware.cpu_model

/var/log/syslog.log 29 gen 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} NETWORK_CONNECTION

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

http_method è mappato a network.http.method

response_code è mappato a network.http.response_code

la risorsa è mappata a target.url

target_ip è mappato su target.ip

received_bytes è mappato a network.received_bytes

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

command_line è mappato a principal.process.command_line

/var/log/syslog.log 26 luglio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} STATUS_UPDATE

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

log_level è mappato a security_result.severity

message is mapped to metadata.description

command_line è mappato a principal.process.command_line

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

target_ip è mappato su target.ip

/var/log/syslog.log 26 luglio 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} STATUS_UPDATE

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

log_level è mappato a security_result.severity

description è mappato a security_result.description

command_line è mappato a principal.process.command_line

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

/var/log/syslog.log 29 gen 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) STATUS_UPDATE

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

log_level è mappato a security_result.severity

description + reason è mappato a security_result.description

command_line è mappato a principal.process.command_line

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

/var/log/syslog.log 2 maggio 06:25:01 localhost apachectl[64942]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using ::1. Imposta la direttiva "ServerName" a livello globale per eliminare questo messaggio {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

message is mapped to metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

command_line è mappato a principal.process.command_line

/var/log/syslog.log 2 maggio 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 byte) tagliati {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

message is mapped to metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

command_line è mappato a principal.process.command_line

/var/log/syslog.log 3 maggio 10:14:37 localhost rsyslogd: rsyslogd's userid changed to 102 {collected_timestamp}{hostname}{command_line}:{message}to{user_id} STATUS_UPDATE

collected_time è mappato a metadata.collected_timestamp

hostname è mappato a principal.hostname

message is mapped to metadata.description

user_id è mappato a principal.user.userid

command_line è mappato a principal.process.command_line

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

/var/log/syslog.log 5 maggio 10:36:48 localhost systemd[1]: Starting System Logging Service… {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} STATUS_UPDATE

collected_time è mappato a metadata.event_timestamp

hostname è mappato a principal.hostname

pid è mappato a principal.process.pid

message is mapped to metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

command_line è mappato a principal.process.command_line

/var/log/mail.log Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} STATUS_UPDATE

target_hostname è mappato a target.hostname

application è mappato a target.application

pid è mappato a target.process.pid

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/mail.log 7 apr 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname è mappato a target.hostname

application è mappato a target.application

pid è mappato a target.process.pid

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/mail.log Apr 7 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> STATUS_UPDATE

target_hostname è mappato a target.hostname

application è mappato a target.application

pid è mappato a target.process.pid

resource_name è mappato a target.resource.name

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/mail.log 7 apr 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname è mappato a target.hostname

application è mappato a target.application

pid è mappato a target.process.pid

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/mail.log 7 apr 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} STATUS_UPDATE

target_hostname è mappato a target.hostname

application è mappato a target.application

pid è mappato a target.process.pid

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/mail.log 7 apr 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname è mappato a target.hostname

application è mappato a target.application

pid è mappato a target.process.pid

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - Accessing config key '[filterNames]' through dot notation is deprecated, and it will be removed in a future release. Usa invece "config.getProperty(key, targetClass)". [{timestamp}]{severity}{summary}\-{security_description}

, in {command_line}\({file_path}:<message_text>\)

STATUS_UPDATE

command_line è mappato a "target.process.command_line"

file_path è mappato a "target.process.file.full_path"

Il timestamp è mappato a "metadata.event_timestamp"

severity è mappato a "security_result.severity"

summary è mappato a "security_result.summary"

security_description è mappato a "security_result.description"

metadata.product_name è impostato su "OSSEC"

metadata.vendor_name è impostato su "OSSEC"

/var/log/auth.log 27 apr 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGOUT

il timestamp è mappato a "metadata.timestamp"

Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato su "target.hostname", altrimenti viene mappato su "principal.hostname".

Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application".

Se metadata.event_type è USER_LOGOUT, pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid".

security_description è mappato a "security_result.description"

network_session_id è mappato a "network.session_id"

Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid".

"principal.platform" è mappato su "LINUX"

if(removed_session) event_type is set to USER_LOGOUT

extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/auth.log 28 apr 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? USER_LOGIN

il timestamp è mappato a "metadata.timestamp"

Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato su "target.hostname", altrimenti viene mappato su "principal.hostname".

Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application".

Se metadata.event_type è USER_LOGOUT, pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid".

security_description è mappato a "security_result.description"

network_session_id è mappato a "network.session_id"

Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid".

"principal.platform" è mappato su "LINUX"

"network.application_protocol" è mappato su "SSH"

if(new_session) event_type is set to USER_LOGIN

extensions.auth.type è impostato su AUTHTYPE_UNSPECIFIED

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/auth.log 28 apr 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? USER_LOGIN

il timestamp è mappato a "metadata.timestamp"

Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato su "target.hostname", altrimenti viene mappato su "principal.hostname".

Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application".

Se metadata.event_type è USER_LOGOUT, pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid".

security_description è mappato a "security_result.description"

Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid".

principal_ip è mappato a "principal.ip"

principal_port è mappato a "principal.port"

security_result_detection_fields_ssh_kv è mappato a "security_result.detection_fields.key/value"

security_result_detection_fields_kv è mappato a "security_result.detection_fields.key/value"

"principal.platform" è impostato su "LINUX"

"network.application_protocol" è impostato su "SSH"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/auth.log Apr 28 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? USER_LOGIN

il timestamp è mappato a "metadata.timestamp"

Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato su "target.hostname", altrimenti viene mappato su "principal.hostname".

Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application".

Se metadata.event_type è USER_LOGOUT, pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid".

security_description è mappato a "security_result.description"

principal_user_uuserid è mappato a "principal.user.attribute.labels"

principal_user_attribute_labels_euid_kv è mappato a "principal.user.attribute.labels.key/value"

principal_ruser_userid è mappato a "principal.user.attribute.labels.key/value"

target_ip è mappato a "target.ip"

Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid".

"principal.platform" è impostato su "LINUX"

"network.application_protocol" è impostato su "SSH"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/auth.log 24 feb 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} STATUS_UPDATE

timestamp è mappato a metadata.timestamp

principal_hostname è mappato a principal.hostname

principal_application è mappato a principal.application

pid è mappato a principal.process.pid

principal_user_userid è mappato a target.user.userid

security_description è mappato a "security_result.description"

principal_process_command_line_1 è mappato a "principal.process.command_line"

principal_process_command_line_2 è mappato a "principal.process.command_line"

principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value"

"principal.platform" è impostato su "LINUX"

/var/log/auth.log 26 apr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session opened for user root by (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGIN

timestamp è mappato a metadata.timestamp

Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato su "target.hostname", altrimenti viene mappato su "principal.hostname".

Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application".

Se metadata.event_type è USER_LOGOUT, pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid".

security_description è mappato a "security_result.description"

Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid".

principal_user_attribute_labels_uid_kv è mappato a "principal.user.attribute.labels.key/value"

"principal.platform" è impostato su "LINUX"

"network.application_protocol" è impostato su "SSH"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/auth.log 26 apr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ USER_LOGOUT

timestamp è mappato a metadata.timestamp

Se metadata.event_type è USER_LOGOUT, principal_hostname viene mappato su "target.hostname", altrimenti viene mappato su "principal.hostname".

Se metadata.event_type è USER_LOGOUT, principal_application viene mappato a "target.application", altrimenti viene mappato a "principal.application".

Se metadata.event_type è USER_LOGOUT, pid viene mappato a "target.process.pid", altrimenti viene mappato a "principal.process.pid".

security_description è mappato a "security_result.description"

Se metadata.event_type è USER_LOGOUT, principal_user_userid viene mappato a "principal.user.userid", altrimenti viene mappato a "target.user.userid".

principal_user_attribute_labels_uid_kv è mappato a principal.user.attribute.labels.key/value

"principal.platform" è impostato su "LINUX"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

/var/log/auth.log 24 maggio 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} STATUS_UPDATE

timestamp è mappato a metadata.timestamp

principal_hostname è mappato a principal.hostname

principal_application è mappato a principal.application

pid è mappato a principal.process.pid

security_result_description è mappato a security_result_description

"principal.platform" è impostato su "LINUX"

metadata.vendor_name è impostato su OSSEC

metadata.product_name è impostato su OSSEC

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} STATUS_UPDATE

il timestamp è mappato a "metadata.timestamp"

pid è mappato a "principal.process.pid"

principal_user_attribute_labels_kv è mappato a "principal.user.attribute.labels"

principal_group_attribute_labels_kv è mappato a "principal.group.attribute.labels"

principal_user_userid è mappato a "principal.user.userid"

principal_group_product_object_id è mappato a "principal.group.product_object_id"

security_description è mappato a "security_result.description"

metadata_description è mappato a "metadata.description"

metadata.product_name è impostato su "OSSEC"

"metadata.vendor_name" è impostato su "OSSEC"

var/log/samba/log.winbindd messaging_dgm_init: bind failed: No space left on device {user_id}: {desc} STATUS_UPDATE

metadata.product_name è impostato su "OSSEC"

metadata.vendor_name" è impostato su "OSSEC"

user_id è mappato a principal.user.userid

desc è mappato a metadata.description

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") NETWORK_HTTP

timestamp è mappato a metadata.timestamp

log_level è mappato a security_result.severity

local_ip è mappato su principal.ip

target_ip è mappato su target.ip

target_hostname è mappato a principal.hostname

port è mappato a target.port

user è mappato a principal.user.user_display_name

metadata.vendor_name è impostato su "OpenVPN"

metadata.product_name è impostato su "OpenVPN Access Server"

principal.platform è impostato su "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") STATUS_UPDATE

timestamp è mappato a metadata.timestamp

log_level è mappato a security_result.severity

msg è mappato a security_result.description

metadata.vendor_name è impostato su "OpenVPN"

metadata.product_name è impostato su "OpenVPN Access Server"

principal.platform è impostato su "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")

message is mapped to <message_text>with[<message_text>]<message_text>:{port}<message_text>

STATUS_UPDATE

timestamp è mappato a metadata.timestamp

log_level è mappato a security_result.severity

message è mappato a security_result.description

metadata.vendor_name è impostato su "OpenVPN"

metadata.product_name è impostato su "OpenVPN Access Server"

principal.platform è impostato su "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") STATUS_UPDATE

timestamp è mappato a metadata.timestamp

log_level è mappato a security_result.severity

message è mappato a security_result.description

user è mappato a principal.user.user_display_name

ip è mappato su principal.ip

metadata.vendor_name è impostato su "OpenVPN"

metadata.product_name è impostato su "OpenVPN Access Server"

principal.platform è impostato su "LINUX"

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' STATUS_UPDATE

timestamp è mappato a metadata.timestamp

log_level è mappato a security_result.severity

message è mappato a security_result.description

summary è mappato a security_result.summary

user_name è mappato a principal.user.user_display_name

cli è mappato a principal.process.command_line

status is mapped to principal.user.user_authentication_status

metadata.vendor_name è impostato su "OpenVPN"

metadata.product_name è impostato su "OpenVPN Access Server"

principal.platform è impostato su "LINUX"

/var/log/audit.log type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' type={audit_log_type}=audit((<optional_field>{metadata_ingested_timestamp}|{metadata_ingested_timestamp})<message_text>:<message_text>):{audit_message} EventType nella scheda Mapping EventType del log di controllo del foglio corrente audit_log_type è mappato a metadata.product_event_type

metadata_ingested_timestamp è mappato a "metadata.event_timestamp"

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.plateform è impostato su "LINUX"

i dati vengono mappati alla coppia chiave-valore -> mappatura UDM nella scheda audit.log del foglio corrente

var/ossec/logs/ossec.log 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_UPDATE

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

metadata_description è mappato a metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} PROCESS_UNCATEGORIZED

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

command_line è mappato a target.process.command_line

metadata_description è mappato a metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' USER_RESOURCE_ACCESS

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

metadata_description è mappato a metadata.description

resource è mappato a target.resource.name

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' FILE_UNCATEGORIZED

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

file_path è mappato a target.file.full_path

metadata_description è mappato a metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' SCAN_PROCESS

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

file_path è mappato a target.file.full_path

metadata.vendor_name è impostato su OSSEC

metadata.product_name è impostato su OSSEC

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} STATUS_UPDATE

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

metadata_description è mappato a metadata.description

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] FILE_UNCATEGORIZED

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

file_path è mappato a target.file.full_path

metadata_description è mappato a metadata.description

error_code è mappato a security_result.summary

error_metadata_description è mappato a security_result.summary

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' STATUS_UPDATE

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

metadata_description è mappato a metadata.description

port è mappato a target.port

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' FILE_READ

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

metadata_description è mappato a metadata.description

file_path è mappato a target.file.full_path

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

var/ossec/logs/ossec.log 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' FILE_UNCATEGORIZED

application è mappato a target.application

pid è mappato a target.process.pid

severity è mappato a security_result.severity

file_path è mappato a target.file.full_path

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

Processo ntpd udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} STATUS_UPDATE

protocollo è mappato a network.ip_protocol

pid è mappato a principal.process.pid

metadata.description è impostato su Nome programma: %{process_name}

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

syscheck File "/usr/bin/fwts" modificato File "{file_path}" {description} FILE_MODIFICATION

description è mappato a metadata.description

file_path è mappato a target.file.full_path

metadata.vendor_name è impostato su "OSSEC"

metadata.product_name è impostato su "OSSEC"

principal.platform è impostato su "LINUX"

Controlla

Campi dei log di controllo ai campi UDM

La tabella seguente elenca i campi di log del tipo di log di controllo e i campi UDM corrispondenti.

Campo log Campo UDM
acct target.user.user_display_name
addr principal.ip
arco about.labels.key/value
auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comm target.application
cwd target.file.full_path
dati about.labels.key/value
devmajor about.labels.key/value
devminor about.labels.key/value
egid target.group.product_object_id
euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
famiglia network.ip_protocol è impostato su "IP6IN4" se "ip_protocol" == 2, altrimenti è impostato su "UNKNOWN_IP_PROTOCOL"
filetype target.file.mime_type
fsgid target.group.product_object_id
fsuid target.user.userid
gid target.group.product_object_id
nome host target.hostname
icmptype network.ip_protocol è impostato su "ICMP"
ID Se [audit_log_type] == "ADD_USER", target.user.userid è impostato su "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id è impostato su "%{id}"

altrimenti target.user.attribute.labels.key/value è impostato su id

inode target.resource.product_object_id
chiave security_result.detection_fields.key/value
list security_result.about.labels.key/value
modalità target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nome target.file.full_path
new-disk target.resource.name
new-mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
new-net pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
ocomm target.process.command_line
opid target.process.pid
oses network.session_id
ouid target.user.userid
obj_gid target.group.product_object_id
obj_role target.user.attribute.role.name
obj_uid target.user.userid
obj_user target.user.user_display_name
ogid target.group.product_object_id
ouid target.user.userid
percorso target.file.full_path
perm target.asset.attribute.permissions.name
pid target.process.pid
ppid target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol è impostato su "IP6IN4"

altrimenti network.ip_protocol è impostato su "UNKNOWN_IP_PROTOCOL"

res security_result.summary
result security_result.summary
saddr security_result.detection_fields.key/value
sauid target.user.attribute.labels.key/value
ses network.session_id
sgid target.group.product_object_id
sig security_result.detection_fields.key/value
subj_user target.user.user_display_name
operazione riuscita Se success=='yes', securtiy_result.summary è impostato su "system call was successful"

altrimenti securtiy_result.summary è impostato su "systemcall was failed"

suid target.user.userid
syscall about.labels.key/value
terminale target.labels.key/value
tty target.labels.key/value
uid Se [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD] uid è impostato su principal.user.userid

altrimenti uid è impostato su target.user.userid

vm target.resource.name

Tipi di log di controllo per il tipo di evento UDM

La tabella seguente elenca i tipi di log di controllo e i tipi di eventi UDM corrispondenti.

Tipo di audit log Tipo di evento UDM Descrizione
ADD_GROUP GROUP_CREATION Si attiva quando viene aggiunto un gruppo di spazi utente.
ADD_USER USER_CREATION Si attiva quando viene aggiunto un account utente dello spazio utente.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Attivato quando un processo termina in modo anomalo (con un segnale che potrebbe causare un dump del core, se abilitato).
AVC GENERIC_EVENT Attivato per registrare un controllo delle autorizzazioni SELinux.
CONFIG_CHANGE USER_RESOURCE_UPDATE_CONTENT Attivato quando viene modificata la configurazione del sistema di controllo.
CRED_ACQ USER_LOGIN Si attiva quando un utente acquisisce le credenziali dello spazio utente.
CRED_DISP USER_LOGOUT Si attiva quando un utente elimina le credenziali dello spazio utente.
CRED_REFR USER_LOGIN Si attiva quando un utente aggiorna le proprie credenziali dello spazio utente.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Attivato per registrare l'identificatore della chiave di crittografia utilizzata a fini crittografici.
CRYPTO_SESSION PROCESS_TERMINATION Attivato per registrare i parametri impostati durante la creazione di una sessione TLS.
CWD SYSTEM_AUDIT_LOG_UNCATEGORIZED Attivato per registrare la directory di lavoro corrente.
DAEMON_ABORT PROCESS_TERMINATION Attivato quando un daemon viene arrestato a causa di un errore.
DAEMON_END PROCESS_TERMINATION Attivato quando un daemon viene arrestato correttamente.
DAEMON_RESUME PROCESS_UNCATEGORIZED Attivato quando il daemon auditd riprende la registrazione.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Attivato quando il daemon auditd ruota i file di log di controllo.
DAEMON_START PROCESS_LAUNCH Si attiva all'avvio del daemon auditd.
DEL_GROUP GROUP_DELETION Si attiva quando un gruppo dello spazio utente viene eliminato.
In attesa USER_DELETION Si attiva quando un utente dello spazio utente viene eliminato.
EXECVE PROCESS_LAUNCH Attivato per registrare gli argomenti della chiamata di sistema execve(2).
MAC_CONFIG_CHANGE GENERIC_EVENT Attivato quando viene modificato un valore booleano SELinux.
MAC_IPSEC_EVENT SYSTEM_AUDIT_LOG_UNCATEGORIZED Attivato per registrare informazioni su un evento IPSec, quando viene rilevato o quando la configurazione IPSec cambia.
MAC_POLICY_LOAD GENERIC_EVENT Attivato quando viene caricato un file di policy SELinux.
MAC_STATUS GENERIC_EVENT Attivato quando viene modificata la modalità SELinux (applicazione forzata, permissiva, disattivata).
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Si attiva quando viene aggiunta un'etichetta statica durante l'utilizzo delle funzionalità di etichettatura dei pacchetti del kernel fornite da NetLabel.
NETFILTER_CFG GENERIC_EVENT Attivato quando vengono rilevate modifiche alla catena Netfilter.
OBJ_PID SYSTEM_AUDIT_LOG_UNCATEGORIZED Attivato per registrare informazioni su un processo a cui viene inviato un segnale.
PATH FILE_OPEN/GENERIC_EVENT Attivato per registrare le informazioni sul percorso del nome file.
SELINUX_ERR GENERIC_EVENT Attivato quando viene rilevato un errore SELinux interno.
SERVICE_START SERVICE_START Si attiva quando viene avviato un servizio.
SERVICE_STOP SERVICE_STOP Si attiva quando un servizio viene interrotto.
SYSCALL GENERIC_EVENT Attivato per registrare una chiamata di sistema al kernel.
SYSTEM_BOOT STATUS_STARTUP Si attiva all'avvio del sistema.
SYSTEM_RUNLEVEL STATUS_UPDATE Attivato quando viene modificato il livello di esecuzione del sistema.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Si attiva quando il sistema viene arrestato.
USER_ACCT SETTING_MODIFICATION Si attiva quando viene modificato un account utente dello spazio utente.
USER_AUTH USER_LOGIN Si attiva quando viene rilevato un tentativo di autenticazione dello spazio utente.
USER_AVC USER_UNCATEGORIZED Si attiva quando viene generato un messaggio AVC di uno spazio utente.
USER_CHAUTHTOK USER_RESOURCE_UPDATE_CONTENT Si attiva quando viene modificato un attributo dell'account utente.
USER_CMD USER_COMMUNICATION Si attiva quando viene eseguito un comando della shell dello spazio utente.
USER_END USER_LOGOUT Si attiva quando una sessione nello spazio utente viene terminata.
USER_ERR USER_UNCATEGORIZED Si attiva quando viene rilevato un errore nello stato dell'account utente.
USER_LOGIN USER_LOGIN Si attiva quando un utente esegue l'accesso.
USER_LOGOUT USER_LOGOUT Si attiva quando un utente esegue la disconnessione.
USER_MAC_POLICY_LOAD RESOURCE_READ Si attiva quando un daemon dello spazio utente carica un criterio SELinux.
USER_MGMT USER_UNCATEGORIZED Attivato per registrare i dati di gestione dello spazio utente.
USER_ROLE_CHANGE USER_CHANGE_PERMISSIONS Si attiva quando viene modificato il ruolo SELinux di un utente.
USER_START USER_LOGIN Si attiva quando viene avviata una sessione nello spazio utente.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Si attiva quando viene rilevata una modifica alla configurazione del sistema di uno spazio utente.
VIRT_CONTROL STATUS_UPDATE Si attiva quando una macchina virtuale viene avviata, messa in pausa o arrestata.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Attivato per registrare l'associazione di un'etichetta a una macchina virtuale.
VIRT_RESOURCE USER_RESOURCE_ACCESS Attivato per registrare l'assegnazione delle risorse di una macchina virtuale.

Posta

Mappare i campi dei log di posta ai campi UDM

La tabella seguente elenca i campi di log del tipo di log di posta e i campi UDM corrispondenti.

Campo log Campo UDM
Classe about.labels.key/value
Ctladdr principal.user.user_display_name
Da network.email.from
Msgid network.email.mail_id
Proto network.application_protocol
Inoltro intermediary.hostname

intermediary.ip

Dimensioni network.received_bytes
Stat security_result.summary
a network.email.to

Tipi di log di posta al tipo di evento UDM

La tabella seguente elenca i tipi di log di posta e i tipi di eventi UDM corrispondenti.

Tipo di log di posta Tipo di evento UDM
sendmail GENERIC_EVENT
ritiro EMAIL_UNCATEGORIZED
cleanup GENERIC_EVENT
qmgr EMAIL_UNCATEGORIZED
smtp GENERIC_EVENT
locale EMAIL_UNCATEGORIZED

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.