Diese Seite wurde von der Cloud Translation API übersetzt.

Fluentd-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie fluentd-Logs durch entsprechende Konfiguration von fluentd erfassen. und Google Security Operations-Forwarder. In diesem Dokument werden auch die unterstützten Logtypen aufgeführt und die unterstützte Fluentd-Version.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Übersicht

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie fluentd auf dem Forwarder- und Aggregator-Server installiert ist, um Logs an Google Security Operations zu senden. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.

Bereitstellungsarchitektur

Das Architekturdiagramm zeigt die folgenden Komponenten:

Linux-System Das zu überwachende Linux-System. Das Linux-System besteht aus den zu überwachenden Dateien und dem fluenter-Forwarder-Server.
Microsoft Windows-System Das zu überwachende Microsoft Windows-System, in dem der fluenter-Forwarder-Server installiert ist.
Fluentd-Forwarder. Der Fluentd-Weiterleiter erfasst Informationen aus dem Microsoft Windows- oder Linux-System und leitet sie an den Fluentd-Aggregator weiter.
fluentd-Aggregator Der Fluentd-Aggregator empfängt Logs vom Der fluentd-Forwarder und leitet die Logs an den Google Security Operations-Forwarder weiter.
Google Security Operations-Forwarder. Der Google Security Operations-Forwarder Softwarekomponente, die im Kundennetzwerk bereitgestellt wird und Syslog unterstützt. Der Google Security Operations-Forwarder leitet die Protokolle an Google Security Operations weiter.
Google Security Operations Google Security Operations speichert und analysiert die Logs den Fluentd-Aggregator.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten normalisiert in das strukturierte UDM-Format. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel FLUENTD.

Hinweise

Achten Sie darauf, dass der fluentd-Forwarder auf den Microsoft Windows- oder Linux-Systemen installiert ist, die die Sie überwachen möchten. Weitere Informationen zur Installation des Fluentd-Forwarders finden Sie im Abschnitt zur Installation von Fluentd.
Verwenden Sie eine Fluentd-Version, die vom Google Security Operations-Parser unterstützt wird. Google Security Operations Der Parser unterstützt die Fluentd-Version 1.0.
Der Fluentd-Aggregator muss auf dem zentralen Linux-Server installiert und konfiguriert sein.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur konfiguriert sind in der Zeitzone UTC angegeben.

Prüfen Sie die Logtypen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die vom Google Security Operations-Parser unterstützten Produkte und Protokolldateipfade aufgeführt:

Betriebssystem	Produkt	Protokolldateipfad
Microsoft Windows	Microsoft Windows	Ereignisprotokolle
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	rkhunter	/var/log/rkhunter.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	Rundeck	/var/log/rundeck/service.log
Linux	Samba	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

Fluentd-Forwarder und ‑Aggregator sowie Google Security Operations-Forwarder konfigurieren

Wenn Sie die von den Linux-Systemen generierten Logs überwachen möchten, erstellen Sie eine td-agent.conf-Datei, um das Logmonitoring anzugeben. Konfiguration für den Fluentd-Forwarder. Hier ist eine Beispielkonfigurationsdatei für den fluentd-Forwarder auf dem Linux-System:

<source>
@type tail
path /var/log/nginx/access.log
pos_file /var/log/td-agent/nginx-access.log.pos
tag mytag.nginx.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/nginx/error.log
pos_file /var/log/td-agent/nginx-error.log.pos
tag mytag.nginx.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/access.log
pos_file /var/log/td-agent/apache-access.log.pos
tag mytag.apache.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/error.log
pos_file /var/log/td-agent/apache-error.log.pos
tag mytag.apache.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/audit/audit.log
pos_file /var/log/td-agent/audit.log.pos
tag mytag.audit
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/syslog/syslog.log
pos_file /var/log/td-agent/syslog.log.pos
tag mytag.syslog
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/other_vhosts_access.log
pos_file /var/log/td-agent/vhost.log.pos
tag mytag.apache.other_vhosts_access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/novnc-server-access.log
pos_file /var/log/td-agent/novnc.log.pos
tag mytag.apache.novnc-server-access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/openvpnas.log
pos_file /var/log/td-agent/openvpnas.log.pos
tag mytag.openvpnas
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/auth.log
pos_file /var/log/td-agent/auth.log.pos
tag mytag.auth
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/kern.log
pos_file /var/log/td-agent/kern.log.pos
tag mytag.kern
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rundeck/service.log
pos_file /var/log/td-agent/rundeck.log.pos
tag mytag.rundeck
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/mail.log
pos_file /var/log/td-agent/mail.log.pos
tag mytag.mail
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rkhunter.log
pos_file /var/log/td-agent/rkhunter.log.pos
tag mytag.rkhunter
<parse>
@type none
</parse>
</source>

<source>
@type tail
Path /var/log/samba/log.winbindd
pos_file /var/log/td-agent/winbindd.log.pos
tag mytag.winbindd
<parse>
@type none
</parse>
</source>

<filter  mytag.**>
@type record_transformer
<record>
forwarder_hostname "#{Socket.gethostname}"
</record>
</filter>

<filter  mytag.nginx.access.**>
@type record_transformer
<record>
path "/var/log/nginx/access.log"
</record>
</filter>

<filter  mytag.nginx.error.**>
@type record_transformer
<record>
path "/var/log/nginx/error.log"
</record>
</filter>

<filter  mytag.apache.access.**>
@type record_transformer
<record>
path "/var/log/apache2/access.log"
</record>
</filter>

<filter  mytag.apache.error.**>
@type record_transformer
<record>
path "/var/log/apache2/error.log"
</record>
</filter>

<filter  mytag.audit.**>
@type record_transformer
<record>
path "/var/log/audit/audit.log"
</record>
</filter>

<filter  mytag.syslog.**>
@type record_transformer
<record>
path "/var/log/syslog/syslog.log"
</record>
</filter>

<filter  mytag.apache.other_vhosts_access.**>
@type record_transformer
<record>
path "/var/log/apache2/other_vhosts_access.log"
</record>
</filter>

<filter  mytag.apache.novnc-server-access.**>
@type record_transformer
<record>
path "/var/log/apache2/novnc-server-access.log"
</record>
</filter>

<filter mytag.openvpnas.**>
@type record_transformer
<record>
path "/var/log/openvpnas.log"
</record>
</filter>

<filter mytag.auth.**>
@type record_transformer
<record>
path "/var/log/auth.log"
</record>
</filter>

<filter mytag.kern.**>
@type record_transformer
<record>
path "/var/log/kern.log"
</record>
</filter>

<filter mytag.rundeck.**>
@type record_transformer
<record>
path "/var/log/rundeck/service.log"
</record>
</filter>

<filter mytag.mail.**>
@type record_transformer
<record>
path "/var/log/mail.log"
</record>
</filter>

<filter mytag.rkhunter.**>
@type record_transformer
<record>
path "/var/log/rkhunter.log"
</record>
</filter>

<filter mytag.winbindd.**>
@type record_transformer
<record>
path "/var/log/samba/log.winbindd"
</record>
</filter>

<match mytag.**>
@type forward
# primary host
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
</server>
</match>

Wenn Sie die von den Microsoft Windows-Systemen generierten Protokolle überwachen möchten, erstellen Sie eine td-agent.conf-Datei, um die Protokollüberwachungskonfiguration für den Fluentd-Weiterleiter anzugeben. Hier ist ein Beispiel Konfigurationsdatei für den Fluentd-Forwarder auf dem Microsoft Windows-System:

<source>
@type windows_eventlog
@id windows_eventlog
channels application,security,system
read_existing_events true
read_interval 2
tag windows.raw
render_as_xml true
<storage>
@type local
persistent true
path E:\windows.pos
</storage>
</source>
<match windowslog>
@type forward
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
username <AGGREGATOR_USERNAME>
password <AGGREGATOR_PASSWORD>
</server>
</match>

Wenn Sie die Protokolle vom Fluentd-Aggregator an den Google Security Operations-Weiterleiter weiterleiten möchten, erstellen Sie eine Konfigurationsdatei im folgenden Format:

<source>
@type forward
port <AGGREGATOR_PORT>
</source>

## Forwarding
<match mytag.**>
@id output_system_forward
@type forward
# IP and port of the forwarder
<server>
 host <CHRONICLE_FORWARDER_HOSTNAME>
 port <CHRONICLE_FORWARDER_PORT>
</server>
</match>

Google Security Operations-Weiterleitung zum Senden von Logs konfigurieren Google Security Operations Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
```
common:
  enabled: true
  data_type: FLUENTD
  batch_n_seconds: 10
  batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
connection_timeout_sec: 60
```

Feldzuordnungsreferenz

In diesem Abschnitt wird erläutert, wie der Parser Grok-Muster für Linux- und Microsoft Windows-Systeme und die Zuordnung von Fluentd-Logfeldern zu Google Security Operations Unified Data Model-Feldern (UDM) für jeden Logtyp.

Informationen zur Zuordnungsreferenz für allgemeine Felder finden Sie unter Allgemeine Felder.

Referenzinformationen über Log-Pfade, Grob-Muster für Beispiel-Logs, Ereignistypen, finden Sie in den folgenden Abschnitten:

Informationen zu unterstützten Microsoft Windows-Ereignissen und den entsprechenden UDM-Feldern Siehe Microsoft Windows-Ereignisdaten

Allgemeine Felder

In der folgenden Tabelle sind die gängigen Protokollfelder und die entsprechenden UDM-Felder aufgeführt.

Gemeinsames Logfeld	UDM-Feld
collected_time	metadata.collected_timestamp
inner_message.message	inner_message
inner_message.forwarder_hostname	target.hostname oder principal.hostname
inner_message.path	event_source

Linux-System

In der folgenden Tabelle sind die Logpfade für das Linux-System, grok-Muster für Beispiellogs, Ereignistyp und UDM-Zuordnungen:

Pfad zum Protokoll	Beispiellog	Grok-Muster	Ereignistyp	UDM-Zuordnung
/var/log/apache2/error.log	[Do, 28. April 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] konnte keine Verbindung herstellen	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] konnte keine Verbindung herstellen	[{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}\|)]{error_message}	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. „tid“ ist „target.process.pid“ zugeordnet. error_message wird security_result.description zugeordnet network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Do Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Befehlszeile: '/usr/sbin/apache2'	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet target.platform ist auf "LINUX" festgelegt „referer_url“ ist „network.http.referral_url“ zugeordnet.
/var/log/apache2/error.log	[So. Jan. 30.15.15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH011191: HTTP: Verbindung zu Backend konnte nicht hergestellt werden. 2.	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?"	NETWORK_HTTP	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_module ist target.resource.name zugeordnet log_level ist security_result.severity zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. tid wird target.process.pid zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet error_message wird security_result.description zugeordnet „target_ip“ ist „target.ip“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] Neue Verbindung: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	„timestamp“ wird „metadata.event_timestamp“ zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] Neue Anfrage: [connection: j8BjX4Z5tjk] [Anfrage: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: Die Datei /usr/local/apache2/htdocs/favicon.ico existiert nicht	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[Client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	Der Zeitstempel wird metadata.event_timestamp zugeordnet. log_level ist security_result.severity zugeordnet request_id wird security_result.detection_fields.(Schlüssel/Wert) zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet „client_port“ ist „principal.port“ zugeordnet "pid" wird "target.process.parent_process.pid" zugeordnet. connection_id ist network.session_id zugeordnet. error_message wird security_result.description zugeordnet file_path ist target.file.full_path zugeordnet. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/access.log	192.0.2.1 - - [28/Apr/2022:17:35:52 0530] "GET / HTTP/1.1" 200 3476 "-" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)?	NETWORK_HTTP	„client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. „method“ ist „network.http.method“ zugeordnet. Ressource ist principal.resource.name zugeordnet "client_protocol" ist "network.application_protocol" zugeordnet. result_status ist network.http.response_code zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
var/log/apache2/other_vhosts_access.log	wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}:{NUMBER:target_port} {client_ip} – (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host ist target.hostname zugeordnet. target_port ist target.port zugeordnet. „client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet Host ist principal.hostname zugeordnet. Der Zeitstempel wird metadata.event_timestamp zugeordnet. „method“ ist „network.http.method“ zugeordnet. resource wird principal.resource.name zugeordnet result_status ist network.http.response_code zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt
var/log/apache2/novnc-server-access.log	wintest.beispiel.de:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\"	{target_host}:{NUMBER:target_port} {client_ip} – (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	„client_ip“ ist „principal.ip“ zugeordnet userid ist principal.user.userid zugeordnet wird network.http.method zugeordnet. Pfad ist target.url zugeordnet. result_status ist network.http.response_code zugeordnet. „object_size“ wird „network.sent_bytes“ zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt network.application_protocol ist auf "HTTP" gesetzt
/var/log/apache2/access.log	"http://192.0.2.1/test/first.html" -> /google.com	(<optional_field>{referer_url}?)->(<optional_field>{path}?)	GENERIC_EVENT	Pfad ist target.url zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. network.direction ist auf „OUTBOUND“ festgelegt. target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	(<optional_field>{user_agent})	GENERIC_EVENT	user_agent ist network.http.user_agent zugeordnet. „network.direction“ ist auf „OUTBOUND“ festgelegt target.platform ist auf "LINUX" festgelegt network.application_protocol ist auf "HTTP" gesetzt target.platform ist auf "LINUX" festgelegt metadata.vendor_name auf „Apache“ festgelegt metadata.product_name auf „Apache HTTP Server“ festgelegt
var/log/nginx/access.log	192.0.2.1 – admin [05/May/2022:11:53:27 0530] "GET /icons/Ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36	{principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	wird metadata.timestamp zugeordnet. „ip“ ist „target.ip“ zugeordnet. principal_ip ist principal.ip zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet metadata_timestamp ist dem Zeitstempel zugeordnet „http_method“ wird „network.http.method“ zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll ist network.application_protocol = (HTTP) zugeordnet. Antwortcode ist network.http.response_code zugeordnet. "empfangen_bytes" wird "network.sent_bytes" zugeordnet. „referer_url“ ist „network.http.referral_url“ zugeordnet. user_agent ist network.http.user_agent zugeordnet. target.platform ist auf "LINUX" festgelegt metadata.vendor_name ist auf „NGINX“ festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt.
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" fehlgeschlagen (2: Datei oder Verzeichnis nicht vorhanden), Client: 192.0.2.1, Server: localhost, Anfrage: \"GET /nginx_status HTTP/1.1\", Host: \"192.0.2.1:8080\"	"{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}" inner_message2 ist „{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}\|[{target_ip}]):{target_port} fehlgeschlagen ({security_description})", „\*{cid}{security_description}“, "{security_description}"	NETWORK_HTTP	Thread_id ist principal.process.pid zugeordnet. severity wird security_result.severity zugeordnet (Fehlerbehebung ist UNKNOWN_SEVERITY zugeordnet, Informationen sind INFORMATIONAL zugeordnet, Hinweis ist LOW zugeordnet, Warnung ist MEDIUM zugeordnet, Fehler ist ERROR zugeordnet, Kriterium ist KRITISCH zugeordnet, Benachrichtigung ist HIGH zugeordnet) „target_file_full_path“ wird „target.file.full_path“ zugeordnet. principal_ip ist principal.ip zugeordnet "target_hostname" wird "target.hostname" zugeordnet http_method ist network.http.method zugeordnet. "resource_name" ist "principal.resource.name" zugeordnet Protokoll "TCP" zugeordnet ist, target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. security_description security_result_description_2 ist security_result.description zugeordnet. pid wird principal.process.parent_process.pid zugeordnet. network.application_protocol ist auf "HTTP" gesetzt Der Zeitstempel wird {year}/{day}/{month} {time} zugeordnet. target.platform ist auf "LINUX" festgelegt metadata.vendor_name ist auf „NGINX“ festgelegt metadata.product_name ist auf „NGINX“ festgelegt network.ip_protocol ist auf "TCP" festgelegt network.direction ist auf „OUTBOUND“ festgelegt.
var/log/rkhunter.log	[14:10:40] Prüfung der erforderlichen Befehle fehlgeschlagen	[<message_text>]{security_description}	Statusaktualisierung	wird metadata.timestamp zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
var/log/rkhunter.log	[14:09:52] Suche nach Datei '/dev/.oz/.nap/rkit/terror' [ Nicht gefunden ]	[<message_text>] {security_description} {file_path}[\{metadata_description}]	FILE_UNCATEGORIZED	metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. security_description wird security_result.description zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
var/log/rkhunter.log	fluentd: Dateigröße verringert (Inode blieb): '/var/log/rkhunter.log'.	(<optional_field><message_text>:){metadata_description}:'{file_path}'	FILE_UNCATEGORIZED	„time“ wird „metadata.timestamp“ zugeordnet. metadata_description ist metadata.description zugeordnet. file_path ist target.file.full_path zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „RootKit Hunter“ festgelegt metadata.product_name ist auf „RootKit Hunter“ festgelegt
/var/log/kern.log	28. Apr 12:41:35 localhost Kernel: [ 5079.912215] ctnetlink v0.93: Registrierung bei nfnetlink.	{timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description}	STATUSAKTUALISIERUNG	Der Zeitstempel wird „metadata.event_timestamp“ principal_hostname wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet metadata_description wird "metadata.description" zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/kern.log	6. Juli 11:17:01 Ubuntu18-Kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7)	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	Der Zeitstempel wird „metadata.event_timestamp“ principal_hostname wird „principal.hostname“ zugeordnet metadata_product_event_type ist "metadata.product_event_type" zugeordnet „principal_asset_hardware_cpu_model“ ist „principal.asset.hardware.cpu_model“ zugeordnet „metadata_description“ wird „metadata.description“ zugeordnet „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt "cpu_model" ist "principal.asset.hardware.cpu_model" zugeordnet
/var/log/syslog.log	24. Mai 10:30:42 Ubuntu18 systemd[1]: Sitzung 112 des Nutzers kajal gestartet.	{collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. „message“ wird „metadata.description“ zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
/var/log/syslog.log	Jul 06 10:14:37 Ubuntu18 rsyslogd: Die Nutzer-ID von rsyslogd wurde in 102 geändert.	{collected_timestamp}{hostname}{command_line}:{message}to{user_id}	STATUS_UPDATE	„collected_time“ wird „metadata.collected_timestamp“ zugeordnet Hostname wird principal.hostname zugeordnet Nachricht wird metadata.description zugeordnet. user_id ist principal.user.userid zugeordnet. „command_line“ wird „principal.process.command_line“ zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt principal.platform ist auf „LINUX“ festgelegt
/var/log/syslog.log	06.07.18 10:36:48 Ubuntu18 systemd[1]: System Logging Service wird gestartet…	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	„collection_time“ ist „metadata.event_timestamp“ zugeordnet. Hostname wird principal.hostname zugeordnet pid wird principal.process.pid zugeordnet. „message“ wird „metadata.description“ zugeordnet. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt „principal.platform“ ist auf „LINUX“ festgelegt Die Befehlszeile wird principal.process.command_line zugeordnet.
var/log/openvpnas.log	2022-04-29T10:51:22 0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 190.51 mohit_AUTOLOGIN/203.0.113.1:16245	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet „local_ip“ ist principal.ip zugeordnet target_ip ist target.ip zugeordnet target_hostname wird principal.hostname zugeordnet port ist target.port zugeordnet user wird principal.user.user_display_name zugeordnet metadata.vendor_name ist auf „OpenVPN“ festgelegt. metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. „principal.platform“ ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-28T16:14:13 0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 Library-Versionen: OpenSSL 1.1.1, 11. September 2018, LZO 2.08	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	Statusaktualisierung	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet msg wird security_result.description zugeordnet metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. „principal.platform“ ist auf „LINUX“ festgelegt
var/log/openvpnas.log	2022-04-28T16:14:13 0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'\|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'\|" Nachricht ist zugeordnet zu (net_addr_v4_add\|net_route_v4_best_gw):{target_ip}/{target_port}	Statusaktualisierung	„principal.platform“ ist auf „LINUX“ festgelegt target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet. severity wird security_result.severity zugeordnet Der Zeitstempel ist metadata.timestamp zugeordnet. metadata.vendor_name ist auf „OpenVPN“ festgelegt metadata.product_name ist auf OpenVPN Access Server festgelegt
var/log/openvpnas.log		{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") Die Nachricht wird mit <message_text>with[<message_text>]<message_text>:{port}<message_text> abgeglichen.	STATUSAKTUALISIERUNG	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet metadata.vendor_name auf OpenVPN festgelegt metadata.product_name ist auf OpenVPN Access Server festgelegt principal.platform ist auf Linux festgelegt „target_ip“ ist „target.ip“ zugeordnet. target_port ist target.port zugeordnet. "target_hostname" wird "target.hostname" zugeordnet „intermediary_ip“ ist „intermediary.ip“ zugeordnet.
var/log/openvpnas.log	2022-04-29T10:51:22 0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\"	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optionales_Feld>'\|")<message_text>{user}\/{ip}:{message}(<optionales_Feld>'\|")	Statusaktualisierung	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet Nachricht wird metadata.description zugeordnet. „user“ ist „target.hostname“ zugeordnet. IP-Adresse ist target.ip zugeordnet Port ist taregt.port zugeordnet. metadata.vendor_name auf OpenVPN festgelegt metadata.product_name ist auf OpenVPN Access Server festgelegt principal.platform ist auf Linux festgelegt
var/log/openvpnas.log		{timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	Statusaktualisierung	Der Zeitstempel ist metadata.timestamp zugeordnet. log_level ist security_result.severity zugeordnet „message“ wird „security_result.description“ zugeordnet. summary ist security_result.summary zugeordnet „user_name“ wird „principal.user.user_display_name“ zugeordnet. cli ist principal.process.command_line zugeordnet. Der Status wird principal.user.user_authentication_status zugeordnet. metadata.vendor_name auf "OpenVPN" festgelegt metadata.product_name ist auf „OpenVPN Access Server“ festgelegt. „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap – Zugriff auf Konfigurationsschlüssel „[filterNames]“ über Punktnotation wurde eingestellt und wird in einer zukünftigen Version entfernt. "config.getProperty(key, targetClass)" verwenden .	[{timestamp}]{severity}{summary}\-{security_description} , bei {command_line}${file_path}:<message_text>$	Statusaktualisierung	Die Befehlszeile wird "target.process.command_line" zugeordnet. file_path wird "target.process.file.full_path" zugeordnet. Der Zeitstempel wird „metadata.event_timestamp“ Schweregrad wird „security_result.severity“ zugeordnet Zusammenfassung wird „security_result.summary“ zugeordnet security_description wird "security_result.description" zugeordnet metadata.product_name ist auf „FLUENTD“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt
/var/log/auth.log	4. Juli 19:26:19 Ubuntu18 systemd-logind[982]: removed session 153.	{timestamp} {principal_hostname}{principal_application}(<optionales_Feld>[{pid}]):{security_description}{network_session_id}?(des Nutzers {principal_user_userid})?	USER_LOGOUT	Der Zeitstempel wird „metadata.timestamp“ „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet. principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet. pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet. security_description wird "security_result.description" zugeordnet „network_session_id“ wird „network.session_id“ zugeordnet. „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt Wenn das Ereignis security_description auf "Removed" (Sitzung) gesetzt ist, wird "event_type" auf "USER_LOGOUT" gesetzt. „extensions.auth.type“ ist auf „AUTHTYPE_UNSPECIFIED“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/auth.log	27. Juni 11:07:17 Ubuntu18 systemd-logind[804]: Neue Sitzung 564 des Stammverzeichnisses des Nutzers.	{timestamp} {principal_hostname}{principal_application}(<optionales_Feld>[{pid}]):{security_description}{network_session_id}?(des Nutzers {principal_user_userid})?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet. principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet. pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet. security_description wird "security_result.description" zugeordnet „network_session_id“ wird „network.session_id“ zugeordnet. „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt "network.application_protocol" ist "SSH" zugeordnet if(new_session) event_type ist auf USER_LOGIN festgelegt extensions.auth.type ist auf AUTHTYPE_UNSPECIFIED festgelegt. „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/auth.log	Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer)?{principal_user_userid} von {principal_ip} Port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})?	USER_LOGIN	Der Zeitstempel wird „metadata.timestamp“ „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet. principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet. pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet. security_description wird "security_result.description" zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet. „principal_ip“ ist „principal.ip“ zugeordnet „principal_port“ ist „principal.port“ zugeordnet security_result_detection_fields_ssh_kv ist "security_result.detection_fields.key/value" zugeordnet. security_result_detection_fields_kv ist "security_result.detection_fields.key/value" zugeordnet. „principal.platform“ ist auf „LINUX“ festgelegt "network.application_protocol" ist auf „SSH“ gesetzt metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/auth.log	28. April 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2}	STATUSAKTUALISIERUNG	„timestamp“ wird „metadata.timestamp“ zugeordnet „principal_hostname“ ist „principal.hostname“ zugeordnet „principal_application“ ist „principal.application“ zugeordnet pid wird principal.process.pid zugeordnet. „principal_user_userid“ ist „target.user.userid“ zugeordnet. „security_description“ wird „security_result.description“ zugeordnet. principal_process_command_line_1 ist „principal.process.command_line“ zugeordnet. principal_process_command_line_2 ist „principal.process.command_line“ zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt
/var/log/auth.log	4. Juli 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): Sitzung für Nutzerstamm von (uid=0) geöffnet	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} für (ungültiger Nutzer\|Nutzer)?{principal_user_userid}(von (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGIN	Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet. principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet. pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet. security_description wird "security_result.description" zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt "network.application_protocol" ist auf „SSH“ gesetzt metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/auth.log	4. Juli 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): Sitzung für Nutzerstamm beendet	{timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} for (invalid user\|user){principal_user_userid}	USER_LOGOUT	Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet. principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet. pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet. security_description wird "security_result.description" zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet. „principal_user_attribute_labels_uid_kv“ ist „principal.user.attribute.labels.key/value“ zugeordnet „principal.platform“ ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/auth.log	30. Juni, 11:32:26 Ubuntu18 sshd[29425]: Verbindung zurückgesetzt durch Authentifizierung des Nutzerstamms 198.51.100.1, Port 52518 [preauth]	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from\|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]\|:<text_message>{security_summary}\|)	USER_LOGOUT	Der Zeitstempel ist metadata.timestamp zugeordnet. „principal_hostname“ wird „target.hostname“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst wird er "principal.hostname" zugeordnet. principal_application wird target.application zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst wird er "principal.application" zugeordnet. pid wird target.process.pid zugeordnet, wenn der Wert "USER_LOGOUT" ist. sonst principal.process.pid zugeordnet. security_description wird security_result.description zugeordnet „security_summary“ wird „security_result.summary“ zugeordnet. „principal_user_userid“ ist „principal.user.userid“ zugeordnet, wenn der Wert „USER_LOGOUT“ ist sonst "target.user.userid" zugeordnet. target_ip ist target.ip zugeordnet target_port ist target.port zugeordnet.“ principal.platform" ist auf „LINUX“ festgelegt „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
var/log/samba/log.winbindd	[2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initial_winbindd_cache)initial_winbindd_cache: Cache leeren und mit Versionsnummer 2 neu erstellen	{timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	Statusaktualisierung	Der Zeitstempel wird „metadata.timestamp“ Die Prozess-ID ist „principal.process.pid“ zugeordnet. „principal_user_attribute_labels_kv“ ist „principal.user.attribute.labels“ zugeordnet „principal_group_attribute_labels_kv“ ist „principal.group.attribute.labels“ zugeordnet „principal_user_userid“ ist „principal.user.userid“ zugeordnet principal_group_product_object_id wird „principal.group.product_object_id“ zugeordnet. security_description wird "security_result.description" zugeordnet metadata_description wird "metadata.description" zugeordnet. „metadata.product_name“ ist auf „FLUENTD“ festgelegt metadata.vendor_name" ist auf „FLUENTD“ festgelegt
var/log/samba/log.winbindd	Messaging_dgm_init: Bindung fehlgeschlagen: Kein Speicherplatz mehr auf Gerät	{user_id}: {desc}	Statusaktualisierung	metadata.product_name" ist auf „FLUENTD“ festgelegt metadata.vendor_name" ist auf „FLUENTD“ festgelegt user_id ist principal.user.userid zugeordnet. desc ist metadata.description zugeordnet.
/var/log/mail.log	16. Juli 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6Atw94 Relay.local.sys1mit Ubuntu.deals14.https://www.https://support.google.com/a/answer/160610.22G6AtwH0	{timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV}	Statusaktualisierung	„target_hostname“ wird „target.hostname“ zugeordnet. Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/mail.log	7. Juli 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/mail.log	7. Juli 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<[email protected]>	{timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}>	Statusaktualisierung	„target_hostname“ wird „target.hostname“ zugeordnet. Anwendung ist target.application zugeordnet. „pid“ wird target.process.pid zugeordnet. "resource_name" ist "target.resource.name" zugeordnet „metadata.vendor_name“ ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/mail.log	7. Juli 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<[email protected]>, size=565, nrcpt=1 (Warteschlange aktiv)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/mail.log	7. Juli 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25: Network is unreachable	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	Statusaktualisierung	„target_hostname“ wird „target.hostname“ zugeordnet. Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt
/var/log/mail.log	7. Juli 13:44:02 prod postfix/local[23439]: E62521627DC: to=<[email protected]>,Relay=local, delay=0.01, delay=0/0.01/0/0, dsn=2.0.0, status=sent (an Posteingang gesendet)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	"target_hostname" wird "target.hostname" zugeordnet Anwendung ist target.application zugeordnet. „pid“ ist „target.process.pid“ zugeordnet. metadata.vendor_name ist auf „FLUENTD“ festgelegt metadata.product_name ist auf „FLUENTD“ festgelegt

Audit

Audit-Log-Felder zu UDM-Feldern

In der folgenden Tabelle sind die Logfelder des Audit-Logtyps aufgeführt und die zugehörigen UDM-Felder.

Logfeld	UDM-Feld
Konto	target.user.user_display_name
addr	principal.ip
arch	about.labels.key/value
Auid	target.user.userid
Logo: cgroup	principal.process.file.full_path
CMD	target.process.command_line
comm	target.application
cwd	target.file.full_path
Daten	about.labels.key/value
Devmajor	about.labels.key/value
Devminor	about.labels.key/value
egid	target.group.product_object_id
euid	target.user.userid
exe	target.process.file.full_path
exit	target.labels.key/value
Familie	network.ip_protocol ist auf "IP6IN4" festgelegt wenn „ip_protocol“ == 2, andernfalls ist er auf "UNBEKANNTE_IP-PROTOKOLL"
filetype	target.file.mime_type
fsgid	target.group.product_object_id
fsuid	target.user.userid
gid	target.group.product_object_id
Hostname	target.hostname
icmptype	network.ip_protocol ist auf "ICMP" festgelegt
id	Wenn [audit_log_type] == "ADD_USER", wird target.user.userid auf "%{id}" festgelegt Wenn [audit_log_type] == "ADD_GROUP", ist target.group.product_object_id auf "%{id}" festgelegt else target.user.attribute.labels.key/value ist auf id festgelegt
Inode	target.resource.product_object_id
Schlüssel	security_result.detection_fields.key/value
list	security_result.about.labels.key/value
Modus	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
name	target.file.full_path
Neues Laufwerk	target.resource.name
New-Mem	target.resource.attribute.labels.key/value
new-vcpu	target.resource.attribute.labels.key/value
New-Netz	pincipal.mac
new_gid	target.group.product_object_id
Oauid	target.user.userid
Ocomm	target.process.command_line
opid	target.process.pid
OSS	network.session_id
ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
ogid	target.group.product_object_id
Ouid	target.user.userid
Pfad	target.file.full_path
Dauer	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
Proto	Wenn [ip_protocol] == 2, ist network.ip_protocol auf "IP6IN4" eingestellt. else network.ip_protocol ist auf "UNKNOWN_IP_PROTOCOL" festgelegt
Auflösung	security_result.summary
result	security_result.summary
saddr	security_result.detection_fields.key/value
sauid	target.user.attribute.labels.key/value
Ses	network.session_id
sgid	target.group.product_object_id
Sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
Erfolgreich	Wenn „success=='yes““, ist security_result.summary auf „Systemaufruf war erfolgreich“ festgelegt else security_result.summary ist auf „systemcall was failed“ gesetzt.
Suid	target.user.userid
Syscall	about.labels.key/value
Terminal	target.labels.key/value
TTY	target.labels.key/value
uid	Wenn [audit_log_type] in [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_id, DEL_USER_LOAD_POLICY] auf USER_USER_CMD, USER_CMD, USER_CMD sonst ist uid auf target.user.userid festgelegt.
vm	target.resource.name

Audit-Logtypen zum UDM-Ereignistyp

In der folgenden Tabelle sind die Audit-Logtypen und die zugehörigen UDM-Ereignistypen aufgeführt.

Audit-Logtyp	UDM-Ereignistyp	Beschreibung
ADD_GROUP	GROUP_CREATION	Wird ausgelöst, wenn eine Gruppe für den Nutzerbereich hinzugefügt wird.
ADD_USER	USER_CREATION	Wird ausgelöst, wenn ein Nutzerkonto für den Nutzerbereich hinzugefügt wird.
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	Wird ausgelöst, wenn ein Prozess ungewöhnlich endet (mit einem Signal, das, sofern aktiviert, einen Core Dump verursachen könnte)
AVC	GENERIC_EVENT	Wird zum Aufzeichnen einer SELinux-Berechtigungsprüfung ausgelöst.
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn die Systemkonfiguration des Audits geändert wird.
CRED_ACQ	USER_LOGIN	Wird ausgelöst, wenn ein Nutzer Anmeldedaten für den Nutzerbereich abruft.
CRED_DISP	USER_LOGOUT	Wird ausgelöst, wenn ein Nutzer Nutzerbereich-Anmeldedaten löscht.
CRED_REFR	USER_LOGIN	Wird ausgelöst, wenn ein Nutzer seine Anmeldedaten für den Nutzerbereich aktualisiert.
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	Wird zum Aufzeichnen der kryptografischen Schlüssel-ID für kryptografische Zwecke ausgelöst.
CRYPTO_SESSION	PROCESS_TERMINATION	Wird ausgelöst, um Parameter zu erfassen, die während des Aufbaus einer TLS-Sitzung festgelegt wurden.
CWD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um das aktuelle Arbeitsverzeichnis aufzuzeichnen.
DAEMON_ABORT	PROCESS_TERMINATION	Wird ausgelöst, wenn ein Daemon aufgrund eines Fehlers beendet wird.
DAEMON_END	PROCESS_TERMINATION	Wird ausgelöst, wenn ein Daemon erfolgreich beendet wurde.
DAEMON_RESUME	PROCESS_UNCATEGORIZED	Wird ausgelöst, wenn der Auditd-Daemon das Logging fortsetzt.
DAEMON_ROTATE	PROCESS_UNCATEGORIZED	Wird ausgelöst, wenn der auditd-Daemon die Audit-Logdateien rotiert.
DAEMON_START	PROCESS_LAUNCH	Wird beim Starten des Auditd-Daemons ausgelöst.
DEL_GROUP	GROUP_DELETION	Wird ausgelöst, wenn eine Nutzerbereichsgruppe gelöscht wird
Ausstehend	USER_DELETION	Wird ausgelöst, wenn ein Nutzer im User-Bereich gelöscht wird
EXECVE	PROCESS_LAUNCH	Wird ausgelöst, um Argumente des execve(2)-Systemaufrufs aufzuzeichnen.
MAC_CONFIG_CHANGE	GENERIC_EVENT	Wird ausgelöst, wenn ein boolescher SELinux-Wert geändert wird.
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um Informationen zu einem IPSec-Ereignis aufzuzeichnen, wenn ein IPSec-Ereignis erkannt wird oder sich die IPSec-Konfiguration ändert.
MAC_POLICY_LOAD	GENERIC_EVENT	Wird ausgelöst, wenn eine SELinux-Richtliniendatei geladen wird.
MAC_STATUS	GENERIC_EVENT	Wird ausgelöst, wenn der SELinux-Modus (erzwingend, moderat, aus) geändert wird.
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, wenn bei Verwendung der Paket-Labeling-Funktionen des von NetLabel bereitgestellten Kernels ein statisches Label hinzugefügt wird.
NETFILTER_CFG	GENERIC_EVENT	Wird ausgelöst, wenn Änderungen an Netfilter-Ketten erkannt werden.
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	Wird ausgelöst, um Informationen zu einem Prozess aufzuzeichnen, an den ein Signal gesendet wird.
Pfad	FILE_OPEN/GENERIC_EVENT	Wird zum Aufzeichnen von Dateinamenpfadinformationen ausgelöst.
SELINUX_ERR	GENERIC_EVENT	Wird ausgelöst, wenn ein interner SELinux-Fehler erkannt wird.
SERVICE_START	SERVICE_START	Wird ausgelöst, wenn ein Dienst gestartet wird
SERVICE_STOP	SERVICE_STOP	Wird ausgelöst, wenn ein Dienst beendet wird.
SYSCALL	GENERIC_EVENT	Wird ausgelöst, um einen Systemaufruf an den Kernel aufzuzeichnen.
SYSTEM_BOOT	STATUS_STARTUP	Wird beim Hochfahren des Systems ausgelöst.
SYSTEM_RUNLEVEL	STATUS_UPDATE	Wird ausgelöst, wenn sich der Runlevel des Systems ändert.
SYSTEM_SHUTDOWN	STATUS_SHUTDOWN	Wird ausgelöst, wenn das System heruntergefahren wird.
USER_ACCT	SETTING_MODIFICATION	Wird ausgelöst, wenn ein Nutzerkonto für einen Nutzerbereich geändert wird.
USER_AUTH	USER_LOGIN	Wird ausgelöst, wenn ein Authentifizierungsversuch im Nutzerbereich erkannt wird.
USER_AVC	USER_UNCATEGORIZED	Wird ausgelöst, wenn eine AVC-Nachricht im Nutzerbereich generiert wird.
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn ein Nutzerkontoattribut geändert wird.
USER_CMD	USER_COMMUNICATION	Wird ausgelöst, wenn ein Shell-Befehl für den Nutzerbereich ausgeführt wird.
USER_END	USER_LOGOUT	Wird ausgelöst, wenn eine User-Bereich-Sitzung beendet wird.
USER_ERR	USER_UNCATEGORIZED	Wird ausgelöst, wenn ein Statusfehler des Nutzerkontos erkannt wird.
USER_LOGIN	USER_LOGIN	Wird ausgelöst, wenn sich ein Nutzer anmeldet
USER_LOGOUT	USER_LOGOUT	Wird ausgelöst, wenn sich ein Nutzer abmeldet.
USER_MAC_POLICY_LOAD	RESOURCE_READ	Wird ausgelöst, wenn ein User-Space-Daemon eine SELinux-Richtlinie lädt.
USER_MGMT	USER_UNCATEGORIZED	Wird zum Aufzeichnen von Daten zur Verwaltung von User-Spaces ausgelöst.
USER_ROLE_CHANGE	USER_CHANGE_PERMISSIONS	Wird ausgelöst, wenn die SELinux-Rolle eines Nutzers geändert wird.
USER_START	USER_LOGIN	Wird ausgelöst, wenn eine User-Space-Sitzung gestartet wird.
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	Wird ausgelöst, wenn eine Änderung der Systemkonfiguration für den Nutzerbereich erkannt wird.
VIRT_CONTROL	STATUS_UPDATE	Wird ausgelöst, wenn eine virtuelle Maschine gestartet, pausiert oder beendet wird.
VIRT_MACHINE_ID	USER_RESOURCE_ACCESS	Wird ausgelöst, um die Bindung eines Labels an eine virtuelle Maschine aufzuzeichnen.
VIRT_RESOURCE	USER_RESOURCE_ACCESS	Wird zum Aufzeichnen der Ressourcenzuweisung einer virtuellen Maschine ausgelöst.

E-Mail

Logfelder an UDM-Felder senden

In der folgenden Tabelle sind die Protokollfelder des E-Mail-Protokolltyps aufgeführt und die zugehörigen UDM-Felder.

Logfeld	UDM-Feld
Klasse	about.labels.key/value
Ctladdr	principal.user.user_display_name
Von	network.email.from
MS-GID	network.email.mail_id
Proto	network.application_protocol
Relay	intermediary.hostname intermediary.ip
Größe	network.received_bytes
Statistik	security_result.summary
bis	network.email.to

E-Mail-Protokolltypen an UDM-Ereignistyp

In der folgenden Tabelle sind die E-Mail-Protokolltypen und die zugehörigen UDM-Ereignistypen aufgeführt.

E-Mail-Log-Typ	UDM-Ereignistyp
sendmail	Statusaktualisierung
Abholung	EMAIL_UNCATEGORIZED
cleanup	Statusaktualisierung
qmgr	EMAIL_UNCATEGORIZED
smtp	STATUSAKTUALISIERUNG
lokal	EMAIL_UNCATEGORIZED

Nächste Schritte

Datenaufnahme in Google Security Operations