本頁面由 Cloud Translation API 翻譯而成。

收集 Fluentd 記錄

支援以下發布途徑：

Google secops Siem

本文說明如何設定 Fluentd 和 Google Security Operations 轉送器，以便收集 Fluentd 記錄。本文件也列出支援的記錄類型和 Fluentd 支援的版本。

詳情請參閱「將資料擷取至 Google Security Operations」。

總覽

下圖顯示部署架構，說明如何在轉送器伺服器和匯集器伺服器上安裝 Fluentd，以便將記錄傳送至 Google 安全作業。每個客戶的部署作業可能會與此表示方式不同，也可能更複雜。

部署架構

架構圖顯示下列元件：

Linux 系統。要監控的 Linux 系統。Linux 系統包含要監控的檔案和 Fluentd 轉送器伺服器。
Microsoft Windows 系統。要監控的 Microsoft Windows 系統，其中已安裝 Fluentd 轉送器伺服器。
Fluentd 轉送器。Fluentd 轉送器會從 Microsoft Windows 或 Linux 系統收集資訊，並將資訊轉送至 Fluentd 匯集器。
Fluentd 集結器。Fluentd 匯入器會接收來自 Fluentd 轉送器的記錄，並將記錄轉送至 Google Security Operations 轉送器。
Google Security Operations 轉送器。Google Security Operations 轉送器是輕量軟體元件，部署在客戶網路中，支援 syslog。Google Security Operations 轉送器會將記錄轉送至 Google Security Operations。
Google Security Operations。Google 安全作業團隊會保留及分析 Fluentd 匯入器的記錄。

擷取標籤會標示剖析器，將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 FLUENTD 攝入標籤的剖析器。

事前準備

請確認在您打算監控的 Microsoft Windows 或 Linux 系統上，已安裝 Fluentd 轉送器。如要進一步瞭解如何安裝 Fluentd 轉送器，請參閱「Fluentd 安裝程序」
請使用 Google Security Operations 剖析器支援的 Fluentd 版本。Google Security Operations 剖析器支援 Fluentd 1.0 版。
請確認已在 Linux 中央伺服器上安裝及設定 Fluentd 匯集器。
請確認部署架構中的所有系統都已設定為世界標準時間。

確認 Google Security Operations 剖析器支援的記錄類型。下表列出 Google Security Operations 剖析器支援的產品和記錄檔案路徑：

作業系統	產品	記錄檔案路徑
Microsoft Windows	Microsoft Windows	事件記錄
Linux	Linux	/var/log/audit/audit.log
Linux	Linux	/var/log/syslog
Linux	apache2	/var/log/apache2/access.log
Linux	apache2	/var/log/apache2/error.log
Linux	apache2	/var/log/apache2/other_vhosts_access.log
Linux	apache2	/var/log/apache2/novnc-server-access.log
Linux	OpenVpn	/var/log/openvpnas.log
Linux	Nginx	/var/log/nginx/access.log
Linux	Nginx	/var/log/nginx/error.log
Linux	rkhunter	/var/log/rkhunter.log
Linux	Linux	/var/log/auth.log
Linux	Linux	/var/log/kern.log
Linux	rundeck	/var/log/rundeck/service.log
Linux	Samba	/var/log/samba/log.winbindd
Linux	Linux	/var/log/mail.log

設定 Fluentd 轉送器和匯總器，以及 Google Security Operations 轉送器

如要監控 Linux 系統產生的記錄，請建立 td-agent.conf 檔案，指定 Fluentd 轉送器的記錄監控設定。以下是 Linux 系統上 Fluentd 轉寄站的設定檔範例：

<source>
@type tail
path /var/log/nginx/access.log
pos_file /var/log/td-agent/nginx-access.log.pos
tag mytag.nginx.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/nginx/error.log
pos_file /var/log/td-agent/nginx-error.log.pos
tag mytag.nginx.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/access.log
pos_file /var/log/td-agent/apache-access.log.pos
tag mytag.apache.access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/apache2/error.log
pos_file /var/log/td-agent/apache-error.log.pos
tag mytag.apache.error
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/audit/audit.log
pos_file /var/log/td-agent/audit.log.pos
tag mytag.audit
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/syslog/syslog.log
pos_file /var/log/td-agent/syslog.log.pos
tag mytag.syslog
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/other_vhosts_access.log
pos_file /var/log/td-agent/vhost.log.pos
tag mytag.apache.other_vhosts_access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path  /var/log/apache2/novnc-server-access.log
pos_file /var/log/td-agent/novnc.log.pos
tag mytag.apache.novnc-server-access
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/openvpnas.log
pos_file /var/log/td-agent/openvpnas.log.pos
tag mytag.openvpnas
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/auth.log
pos_file /var/log/td-agent/auth.log.pos
tag mytag.auth
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/kern.log
pos_file /var/log/td-agent/kern.log.pos
tag mytag.kern
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rundeck/service.log
pos_file /var/log/td-agent/rundeck.log.pos
tag mytag.rundeck
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/mail.log
pos_file /var/log/td-agent/mail.log.pos
tag mytag.mail
<parse>
@type none
</parse>
</source>

<source>
@type tail
path /var/log/rkhunter.log
pos_file /var/log/td-agent/rkhunter.log.pos
tag mytag.rkhunter
<parse>
@type none
</parse>
</source>

<source>
@type tail
Path /var/log/samba/log.winbindd
pos_file /var/log/td-agent/winbindd.log.pos
tag mytag.winbindd
<parse>
@type none
</parse>
</source>

<filter  mytag.**>
@type record_transformer
<record>
forwarder_hostname "#{Socket.gethostname}"
</record>
</filter>

<filter  mytag.nginx.access.**>
@type record_transformer
<record>
path "/var/log/nginx/access.log"
</record>
</filter>

<filter  mytag.nginx.error.**>
@type record_transformer
<record>
path "/var/log/nginx/error.log"
</record>
</filter>

<filter  mytag.apache.access.**>
@type record_transformer
<record>
path "/var/log/apache2/access.log"
</record>
</filter>

<filter  mytag.apache.error.**>
@type record_transformer
<record>
path "/var/log/apache2/error.log"
</record>
</filter>

<filter  mytag.audit.**>
@type record_transformer
<record>
path "/var/log/audit/audit.log"
</record>
</filter>

<filter  mytag.syslog.**>
@type record_transformer
<record>
path "/var/log/syslog/syslog.log"
</record>
</filter>

<filter  mytag.apache.other_vhosts_access.**>
@type record_transformer
<record>
path "/var/log/apache2/other_vhosts_access.log"
</record>
</filter>

<filter  mytag.apache.novnc-server-access.**>
@type record_transformer
<record>
path "/var/log/apache2/novnc-server-access.log"
</record>
</filter>

<filter mytag.openvpnas.**>
@type record_transformer
<record>
path "/var/log/openvpnas.log"
</record>
</filter>

<filter mytag.auth.**>
@type record_transformer
<record>
path "/var/log/auth.log"
</record>
</filter>

<filter mytag.kern.**>
@type record_transformer
<record>
path "/var/log/kern.log"
</record>
</filter>

<filter mytag.rundeck.**>
@type record_transformer
<record>
path "/var/log/rundeck/service.log"
</record>
</filter>

<filter mytag.mail.**>
@type record_transformer
<record>
path "/var/log/mail.log"
</record>
</filter>

<filter mytag.rkhunter.**>
@type record_transformer
<record>
path "/var/log/rkhunter.log"
</record>
</filter>

<filter mytag.winbindd.**>
@type record_transformer
<record>
path "/var/log/samba/log.winbindd"
</record>
</filter>

<match mytag.**>
@type forward
# primary host
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
</server>
</match>

如要監控 Microsoft Windows 系統產生的記錄，請建立 td-agent.conf 檔案，指定 Fluentd 轉送器的記錄監控設定。以下是 Microsoft Windows 系統上 Fluentd 轉送器的設定檔範例：

<source>
@type windows_eventlog
@id windows_eventlog
channels application,security,system
read_existing_events true
read_interval 2
tag windows.raw
render_as_xml true
<storage>
@type local
persistent true
path E:\windows.pos
</storage>
</source>
<match windowslog>
@type forward
<server>
host <AGGREGATOR_HOSTNAME>
port <AGGREGATOR_PORT>
username <AGGREGATOR_USERNAME>
password <AGGREGATOR_PASSWORD>
</server>
</match>

如要將記錄從 Fluentd 匯集器轉送至 Google Security Operations 轉送器，請使用下列格式建立設定檔：

<source>
@type forward
port <AGGREGATOR_PORT>
</source>

## Forwarding
<match mytag.**>
@id output_system_forward
@type forward
# IP and port of the forwarder
<server>
 host <CHRONICLE_FORWARDER_HOSTNAME>
 port <CHRONICLE_FORWARDER_PORT>
</server>
</match>

設定 Google Security Operations 轉送程式，將記錄傳送至 Google Security Operations。詳情請參閱「在 Linux 上安裝及設定轉送器」。以下是 Google Security Operations 轉送器設定的範例：
```
common:
  enabled: true
  data_type: FLUENTD
  batch_n_seconds: 10
  batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
connection_timeout_sec: 60
```

支援的 Fluentd 記錄格式

Fluentd 剖析器支援 SYSLOG+JSON 格式的記錄。

支援的 Fluentd 範例記錄檔

SYSLOG + JSON

"2022-06-30T17:10:10+05:30 mytag.apache.error {\"message\":\"[Sat Jun 02 00:30:55 2022] New connection: [connection: gTxkX8Z6tjk] [client 172.17.0.1:50786]\",\"forwarder_hostname\":\"Ubuntu18\",\"path\":\"/var/log/apache2/error.log\"}"

欄位對應參考資料

本節說明剖析器如何為 Linux 和 Microsoft Windows 系統套用 grok 模式，以及如何將 Fluentd 記錄欄位對應至各個記錄類型的 Google 安全作業統合資料模型 (UDM) 欄位。

如要瞭解常見欄位的對應參照，請參閱「常見欄位」

如要參考記錄路徑、範例記錄的 grok 模式、事件類型和 Linux 系統的 UDM 欄位，請參閱以下章節：

Linux
稽核
稽核記錄事件類型
郵件
郵件記錄事件類型

如要瞭解支援的 Microsoft Windows 事件和對應的 UDM 欄位，請參閱「Microsoft Windows 事件資料」

常用欄位

下表列出常見的記錄欄位及其對應的 UDM 欄位。

常見的記錄欄位	UDM 欄位
collected_time	metadata.collected_timestamp
inner_message.message	inner_message
inner_message.forwarder_hostname	target.hostname 或 principal.hostname
inner_message.path	event_source

Linux 系統

下表列出 Linux 系統的記錄路徑、範例記錄的 Grok 模式、事件類型和 UDM 對應項目：

記錄路徑	記錄檔範例	Grok 模式	事件類型	UDM 對應
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*)	NETWORK_UNCATEGORIZED	時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid client_ip 會對應至 principal.ip client_port 會對應至 principal.port error_message 會對應至 security_result.description network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection	[{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}\|)]{error_message}	NETWORK_UNCATEGORIZED	時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid error_message 會對應至 security_result.description network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/error.log	[Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2'	[{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}\|)](<optional_field> [client {client_ip}:{client_port}]\|) (?<error_message>.*),referer{referer_url}	NETWORK_UNCATEGORIZED	將 metadata.vendor_name 設為「Apache」 metadata.product_name 已設為「Apache HTTP Server」時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid client_ip 會對應至 principal.ip client_port 會對應至 principal.port error_message 會對應至 security_result.description target.platform 設為「LINUX」 referer_url 會對應至 network.http.referral_url
/var/log/apache2/error.log	[Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer http://	[{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}\|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?"	NETWORK_HTTP	時間戳記會對應至 metadata.event_timestamp log_module 會對應至 target.resource.name log_level 會對應至 security_result.severity pid 會對應至 target.process.parent_process.pid tid 會對應至 target.process.pid client_ip 會對應至 principal.ip client_port 會對應至 principal.port error_message 會對應至 security_result.description target_ip 會對應至 target.ip referer_url 會對應至 network.http.referral_url network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] 新連線：[connection: gTxkX8Z6tjk] [client 192.0.2.1:50786]	[{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	時間戳記會對應至 metadata.event_timestamp client_ip 會對應至 principal.ip client_port 會對應至 principal.port connection_id 會對應至 network.session_id network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/error.log	[2019 年 2 月 2 日星期六 00 點 30 分 55 秒] 新要求：[連線：j8BjX4Z5tjk] [要求：ACtkX1Z5tjk] [pid 8] [用戶端 192.0.2.1:50784]	[{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}]	NETWORK_UNCATEGORIZED	時間戳記會對應至 metadata.event_timestamp request_id 會對應至 security_result.detection_fields.(key/value) client_ip 會對應至 principal.ip client_port 會對應至 principal.port pid 會對應至 target.process.parent_process.pid connection_id 會對應至 network.session_id network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/error.log	[Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico	[{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}\|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path}	NETWORK_UNCATEGORIZED	時間戳記會對應至 metadata.event_timestamp log_level 會對應至 security_result.severity request_id 會對應至 security_result.detection_fields.(key/value) client_ip 會對應至 principal.ip client_port 會對應至 principal.port pid 會對應至 target.process.parent_process.pid connection_id 會對應至 network.session_id error_message 會對應至 security_result.description file_path 會對應至 target.file.full_path network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/access.log	192.0.2.1 - - [28/Apr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36"	({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)?	NETWORK_HTTP	client_ip 會對應至 principal.ip userid 會對應至 principal.user.userid host 會對應至 principal.hostname 時間戳記會對應至 metadata.event_timestamp 方法會對應至 network.http.method 資源會對應至 principal.resource.name client_protocol 會對應至 network.application_protocol result_status 會對應至 network.http.response_code object_size 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
var/log/apache2/other_vhosts_access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	target_host 會對應至 target.hostname target_port 會對應至 target.port client_ip 會對應至 principal.ip userid 會對應至 principal.user.userid host 會對應至 principal.hostname 時間戳記會對應至 metadata.event_timestamp 方法會對應至 network.http.method 資源會對應至 principal.resource.name result_status 會對應至 network.http.response_code object_size 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 已設為「Apache HTTP Server」 network.application_protocol 設為「HTTP」
var/log/apache2/novnc-server-access.log	wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\"	{target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)	NETWORK_HTTP	client_ip 會對應至 principal.ip userid 會對應至 principal.user.userid 方法會對應至 network.http.method path 會對應至 target.url result_status 會對應至 network.http.response_code object_size 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 已設為「Apache HTTP Server」 network.application_protocol 設為「HTTP」
/var/log/apache2/access.log	「http://192.0.2.1/test/first.html」-> /google.com	(<optional_field>{referer_url}?)->(<optional_field>{path}?)	GENERIC_EVENT	path 會對應至 target.url referer_url 會對應至 network.http.referral_url network.direction 設為「OUTBOUND」 target.platform 設為「LINUX」 network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
/var/log/apache2/access.log	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36	(<optional_field>{user_agent})	GENERIC_EVENT	user_agent 會對應至 network.http.user_agent network.direction 設為「OUTBOUND」 target.platform 設為「LINUX」 network.application_protocol 設為「HTTP」 target.platform 設為「LINUX」將 metadata.vendor_name 設為「Apache」 metadata.product_name 設為「Apache HTTP Server」
var/log/nginx/access.log	192.0.2.1 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/192.0.2.1 Safari/537.36"	{principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?\|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}\|{user_agent})?	NETWORK_HTTP	時間會對應至 metadata.timestamp ip 會對應至 target.ip principal_ip 會對應至 principal.ip principal_user_userid 會對應至 principal.user.userid metadata_timestamp 會對應至 timestamp http_method 會對應至 network.http.method resource_name 會對應至 principal.resource.name 通訊協定會對應至 network.application_protocol = (HTTP) response_code 會對應至 network.http.response_code received_bytes 會對應至 network.sent_bytes referer_url 會對應至 network.http.referral_url user_agent 會對應至 network.http.user_agent target.platform 設為「LINUX」將 metadata.vendor_name 設為「NGINX」將 metadata.product_name 設為「NGINX」 network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」
var/log/nginx/error.log	2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\"	"{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}" inner_message2 會對應至「{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" 「bind() to ({target_ip}\|[{target_ip}]):{target_port} failed ({security_description})」 "\*{cid}{security_description}", 「{security_description}」	NETWORK_HTTP	thread_id 會對應至 principal.process.pid 嚴重性會對應至 security_result.severity (debug 會對應至 UNKNOWN_SEVERITY、info 會對應至 INFORMATIONAL、notice 會對應至 LOW、warn 會對應至 MEDIUM、error 會對應至 ERROR、crit 會對應至 CRITICAL、alert 會對應至 HIGH) target_file_full_path 會對應至 target.file.full_path principal_ip 會對應至 principal.ip target_hostname 會對應至 target.hostname http_method 會對應至 network.http.method resource_name 會對應至 principal.resource.name 通訊協定會對應至「TCP」 target_ip 會對應至 target.ip target_port 會對應至 target.port security_description + security_result_description_2 會對應至 security_result.description pid 會對應至 principal.process.parent_process.pid network.application_protocol 設為「HTTP」時間戳記會對應至 {year}/{day}/{month} {time} target.platform 設為「LINUX」將 metadata.vendor_name 設為「NGINX」將 metadata.product_name 設為「NGINX」 network.ip_protocol 設為「TCP」 network.direction 設為「OUTBOUND」
var/log/rkhunter.log	[14:10:40] 檢查必要指令失敗	[<message_text>]{security_description}	狀態更新	時間會對應至 metadata.timestamp security_description 會對應至 security_result.description principal.platform 設為「LINUX」將 metadata.vendor_name 設為「RootKit Hunter」 metadata.product_name 設為「RootKit Hunter」
var/log/rkhunter.log	[14:09:52] 檢查檔案「/dev/.oz/.nap/rkit/terror」[未找到]	[<message_text>] {security_description} {file_path}[\{metadata_description}]	FILE_UNCATEGORIZED	metadata_description 會對應至 metadata.description file_path 會對應至 target.file.full_path security_description 會對應至 security_result.description principal.platform 設為「LINUX」將 metadata.vendor_name 設為「RootKit Hunter」 metadata.product_name 設為「RootKit Hunter」
var/log/rkhunter.log	fluentd：檔案大小已縮減 (inode 仍在)：'/var/log/rkhunter.log'。	(<optional_field><message_text>:){metadata_description}:'{file_path}'	FILE_UNCATEGORIZED	時間會對應至 metadata.timestamp metadata_description 會對應至 metadata.description file_path 會對應至 target.file.full_path principal.platform 設為「LINUX」將 metadata.vendor_name 設為「RootKit Hunter」 metadata.product_name 設為「RootKit Hunter」
/var/log/kern.log	4 月 28 日 12 點 41 分 35 秒 localhost 核心：[ 5079.912215] ctnetlink v0.93：使用 nfnetlink 註冊。	{timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description}	狀態更新	時間戳記會對應至「metadata.event_timestamp」 principal_hostname 會對應至「principal.hostname」 metadata_product_event_type 會對應至「metadata.product_event_type」 metadata_description 會對應至「metadata.description」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」
/var/log/kern.log	Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (family: 0x6, model: 0x55, stepping: 0x7)	{timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description})	STATUS_UPDATE	時間戳記會對應至「metadata.event_timestamp」 principal_hostname 會對應至「principal.hostname」 metadata_product_event_type 會對應至「metadata.product_event_type」 principal_asset_hardware_cpu_model 會對應至「principal.asset.hardware.cpu_model」 metadata_description 會對應至「metadata.description」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」 cpu_model 會對應至 principal.asset.hardware.cpu_model
/var/log/syslog.log	2019 年 5 月 24 日 10 點 30 分 42 秒 Ubuntu18 systemd[1]：啟動使用者 kajal 的工作階段 112。	{collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message}	STATUS_UPDATE	collected_time 會對應至 metadata.event_timestamp 主機名稱會對應至 principal.hostname pid 會對應至 principal.process.pid 訊息會對應至 metadata.description metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」系統會將 command_line 對應至 principal.process.command_line
/var/log/syslog.log	Jul 06 10:14:37 Ubuntu18 rsyslogd: rsyslogd's userid changed to 102	{collected_timestamp}{hostname}{command_line}:{message}to{user_id}	STATUS_UPDATE	collected_time 會對應至 metadata.collected_timestamp 主機名稱會對應至 principal.hostname 訊息會對應至 metadata.description user_id 會對應至 principal.user.userid 系統會將 command_line 對應至 principal.process.command_line metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」
/var/log/syslog.log	Jul 06 10:36:48 Ubuntu18 systemd[1]: Starting System Logging Service...	{collected_timestamp}{hostname}{command_line}(<optional_field>\|[{pid}]):{message}	STATUS_UPDATE	collected_time 會對應至 metadata.event_timestamp 主機名稱會對應至 principal.hostname pid 會對應至 principal.process.pid 訊息會對應至 metadata.description metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」 principal.platform 設為「LINUX」系統會將 command_line 對應至 principal.process.command_line
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: Learn: 198.51.100.1 -> mohit_AUTOLOGIN/203.0.113.1:16245'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'\|")	NETWORK_HTTP	時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity local_ip 會對應至 principal.ip target_ip 會對應至 target.ip target_hostname 會對應至 principal.hostname port 會對應至 target.port user 會對應至 principal.user.user_display_name 將 metadata.vendor_name 設為「OpenVPN」將 metadata.product_name 設為「OpenVPN Access Server」 principal.platform 設為「LINUX」
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{msg}(<optional_field>'\|")	狀態更新	時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity msg 會對應至 security_result.description 將 metadata.vendor_name 設為「OpenVPN」將 metadata.product_name 設為「OpenVPN Access Server」 principal.platform 設為「LINUX」
var/log/openvpnas.log	2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<optional_field>'\|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'\|" 訊息會對應至 (net_addr_v4_add\|net_route_v4_best_gw):{target_ip}/{target_port}	狀態更新	principal.platform 設為「LINUX」 target_ip 會對應至 target.ip target_port 會對應至 target.port 嚴重性會對應至 security_result.severity 時間戳記會對應至 metadata.timestamp 將 metadata.vendor_name 設為 OpenVPN 將 metadata.product_name 設為 OpenVPN Access Server
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]192.0.2.1:16245 (via [AF_INET]198.51.100.1%ens160)'	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{message}(<optional_field>'\|") 訊息會對應至 <message_text>with[<message_text>]<message_text>:{port}<message_text>	狀態更新	時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity 將 metadata.vendor_name 設為 OpenVPN 將 metadata.product_name 設為 OpenVPN Access Server principal.platform 已設為 Linux target_ip 會對應至 target.ip target_port 會對應至 target.port target_hostname 會對應至 target.hostname intermediary_ip 會對應至 intermediary.ip
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: \"2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 198.51.100.1,dhcp-option DNS 192.0.2.1,dhcp-option DNS 192.0.2.1,register-dns,block-ipv6,ifconfig 198.51.100.1 203.0.113.1,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)\"	{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'\|")<message_text>{user}\/{ip}:{message}(<optional_field>'\|")	狀態更新	時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity 訊息會對應至 metadata.description user 會對應至 target.hostname ip 會對應至 target.ip port 會對應至 taregt.port 將 metadata.vendor_name 設為 OpenVPN 將 metadata.product_name 設為 OpenVPN Access Server principal.platform 已設為 Linux
var/log/openvpnas.log	2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752'	{timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}'	狀態更新	時間戳記會對應至 metadata.timestamp log_level 會對應至 security_result.severity 訊息會對應至 security_result.description summary 會對應至 security_result.summary user_name 會對應至 principal.user.user_display_name cli 會對應至 principal.process.command_line status 會對應至 principal.user.user_authentication_status 將 metadata.vendor_name 設為「OpenVPN」將 metadata.product_name 設為「OpenVPN Access Server」 principal.platform 設為「LINUX」
/var/log/rundeck/service.log	[2022-05-04T17:03:11,166] WARN config.NavigableMap - 透過點號符號存取設定鍵「[filterNames]」已淘汰，並將在日後推出的版本中移除。請改用 'config.getProperty(key, targetClass)'。	[{timestamp}]{severity}{summary}\-{security_description} , at {command_line}${file_path}:<message_text>$	狀態更新	系統會將 command_line 對應至「target.process.command_line」 file_path 會對應至「target.process.file.full_path」時間戳記會對應至「metadata.event_timestamp」嚴重性會對應至「security_result.severity」 summary 會對應至「security_result.summary」 security_description 會對應至「security_result.description」 metadata.product_name 設為「FLUENTD」 metadata.vendor_name 設為「FLUENTD」
/var/log/auth.log	Jul 4 19:26:19 Ubuntu18 systemd-logind[982]: Removed session 153.	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGOUT	時間戳記會對應至「metadata.timestamp」如果值為「USER_LOGOUT」，principal_hostname 會對應至 target.hostname；否則會對應至 principal.hostname 如果值為「USER_LOGOUT」，則 principal_application 會對應至 target.application，否則會對應至「principal.application」如果值為「USER_LOGOUT」，則 pid 會對應至 target.process.pid；否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 network_session_id 會對應至「network.session_id」如果值為「USER_LOGOUT」，則 principal_user_userid 會對應至 principal.user.userid，否則會對應至 target.user.userid。「principal.platform」已設為「LINUX」如果事件 security_description 為「移除工作階段」，則 event_type 會設為 USER_LOGOUT。 extensions.auth.type 已設為 AUTHTYPE_UNSPECIFIED metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/auth.log	6 月 27 日 11:07:17 Ubuntu18 systemd-logind[804]：使用者 root 的新工作階段 564。	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})?	USER_LOGIN	時間戳記會對應至「metadata.timestamp」如果值為「USER_LOGOUT」，principal_hostname 會對應至 target.hostname；否則會對應至 principal.hostname 如果值為「USER_LOGOUT」，則 principal_application 會對應至 target.application，否則會對應至「principal.application」如果值為「USER_LOGOUT」，則 pid 會對應至 target.process.pid；否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」 network_session_id 會對應至「network.session_id」如果值為「USER_LOGOUT」，則 principal_user_userid 會對應至 principal.user.userid，否則會對應至 target.user.userid。「principal.platform」已設為「LINUX」「network.application_protocol」會對應至「SSH」 if(new_session) event_type 設為 USER_LOGIN extensions.auth.type 已設為 AUTHTYPE_UNSPECIFIED metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/auth.log	Jun 27 11:07:17 Ubuntu18 sshd[9349]: Accepted password for root from 198.51.100.1 port 57619 ssh2	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_kv})?	USER_LOGIN	時間戳記會對應至「metadata.timestamp」如果值為「USER_LOGOUT」，principal_hostname 會對應至 target.hostname；否則會對應至 principal.hostname 如果值為「USER_LOGOUT」，則 principal_application 會對應至 target.application，否則會對應至「principal.application」如果值為「USER_LOGOUT」，則 pid 會對應至 target.process.pid；否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」如果值為「USER_LOGOUT」，則 principal_user_userid 會對應至 principal.user.userid，否則會對應至 target.user.userid。 principal_ip 會對應至「principal.ip」 principal_port 會對應至「principal.port」 security_result_detection_fields_ssh_kv 會對應至「security_result.detection_fields.key/value」 security_result_detection_fields_kv 會對應至「security_result.detection_fields.key/value」「principal.platform」已設為「LINUX」「network.application_protocol」設為「SSH」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/auth.log	Apr 28 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2}	狀態更新	時間戳記會對應至 metadata.timestamp principal_hostname 會對應至 principal.hostname principal_application 會對應至 principal.application pid 會對應至 principal.process.pid principal_user_userid 會對應至 target.user.userid security_description 會對應至「security_result.description」 principal_process_command_line_1 會對應至「principal.process.command_line」 principal_process_command_line_2 會對應至「principal.process.command_line」 principal_user_attribute_labels_uid_kv 會對應至「principal.user.attribute.labels.key/value」「principal.platform」已設為「LINUX」
/var/log/auth.log	Jul 4 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): session opened for user root by (uid=0)	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user\|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$	USER_LOGIN	時間戳記會對應至 metadata.timestamp 如果值為「USER_LOGOUT」，principal_hostname 會對應至 target.hostname；否則會對應至 principal.hostname 如果值為「USER_LOGOUT」，則 principal_application 會對應至 target.application，否則會對應至「principal.application」如果值為「USER_LOGOUT」，則 pid 會對應至 target.process.pid；否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」如果值為「USER_LOGOUT」，則 principal_user_userid 會對應至 principal.user.userid，否則會對應至 target.user.userid。 principal_user_attribute_labels_uid_kv 會對應至「principal.user.attribute.labels.key/value」「principal.platform」已設為「LINUX」「network.application_protocol」設為「SSH」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/auth.log	Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): session closed for user root	{timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]：{security_description} for (invalid user\|user){principal_user_userid}	USER_LOGOUT	時間戳記會對應至 metadata.timestamp 如果值為「USER_LOGOUT」，principal_hostname 會對應至 target.hostname；否則會對應至 principal.hostname 如果值為「USER_LOGOUT」，則 principal_application 會對應至 target.application，否則會對應至「principal.application」如果值為「USER_LOGOUT」，則 pid 會對應至 target.process.pid；否則會對應至 principal.process.pid。 security_description 會對應至「security_result.description」如果值為「USER_LOGOUT」，則 principal_user_userid 會對應至 principal.user.userid，否則會對應至 target.user.userid。 principal_user_attribute_labels_uid_kv 會對應至 principal.user.attribute.labels.key/value 「principal.platform」已設為「LINUX」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/auth.log	Jun 30 11:32:26 Ubuntu18 sshd[29425]: 驗證使用者 root 198.51.100.1 的連線重設通訊埠 52518 [preauth]	{timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(from\|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]\|:<text_message>{security_summary}\|)	USER_LOGOUT	時間戳記會對應至 metadata.timestamp 如果值為「USER_LOGOUT」，principal_hostname 會對應至 target.hostname；否則會對應至 principal.hostname 如果值為「USER_LOGOUT」，則 principal_application 會對應至 target.application，否則會對應至「principal.application」如果值為「USER_LOGOUT」，則 pid 會對應至 target.process.pid；否則會對應至 principal.process.pid。 security_description 會對應至 security_result.description security_summary 會對應至 security_result.summary 如果值為「USER_LOGOUT」，則 principal_user_userid 會對應至 principal.user.userid，否則會對應至 target.user.userid。 target_ip 會對應至 target.ip target_port 會對應至 target.port" 「principal.platform」設為「LINUX」 metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
var/log/samba/log.winbindd	[2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: 清除快取並使用版本號碼 2 重新建立	{timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description}	狀態更新	時間戳記會對應至「metadata.timestamp」 pid 會對應至「principal.process.pid」 principal_user_attribute_labels_kv 會對應至「principal.user.attribute.labels」 principal_group_attribute_labels_kv 會對應至「principal.group.attribute.labels」 principal_user_userid 會對應至「principal.user.userid」 principal_group_product_object_id 會對應至「principal.group.product_object_id」 security_description 會對應至「security_result.description」 metadata_description 會對應至「metadata.description」「metadata.product_name」設為「FLUENTD」「metadata.vendor_name」設為「FLUENTD」
var/log/samba/log.winbindd	messaging_dgm_init：繫結失敗：裝置沒有足夠的空間	{user_id}：{desc}	狀態更新	「metadata.product_name」設為「FLUENTD」「metadata.vendor_name」設為「FLUENTD」 user_id 會對應至 principal.user.userid desc 會對應至 metadata.description
/var/log/mail.log	7 月 16 日 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<fluentd@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<[email protected]>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1]	{timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV}	狀態更新	target_hostname 會對應至 target.hostname application 會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/mail.log	7 月 7 日 13 點 44 分 01 秒產品 postfix/pickup[22580]：AE4271627DB：uid=0 from=<root>	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname 會對應至 target.hostname application 會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/mail.log	7 月 7 日 13:44:01 產品後置字串/清理作業 [23434]：AE4271627DB：message-id=<[email protected]>	{timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}>	狀態更新	target_hostname 會對應至 target.hostname application 會對應至 target.application pid 會對應至 target.process.pid resource_name 會對應至 target.resource.name metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/mail.log	7 月 7 日 13:44:01 產品 postfix/qmgr[3539]：AE4271627DB：from=<[email protected]>, size=565, nrcpt=1 (queue active)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname 會對應至 target.hostname application 會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/mail.log	7 月 7 日 13:44:01 產生 postfix/smtp[23436]：連線至 gmail-smtp-in.l.example.com[2607:xxxx:xxxx:xxx::xx]:25：無法連線到網路	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	狀態更新	target_hostname 會對應至 target.hostname application 會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」
/var/log/mail.log	7 月 7 日 13:44:02 產品 postfix/local[23439]: E62521627DC: to=<[email protected]>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox)	{timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV}	EMAIL_UNCATEGORIZED	target_hostname 會對應至 target.hostname application 會對應至 target.application pid 會對應至 target.process.pid metadata.vendor_name 設為「FLUENTD」 metadata.product_name 設為「FLUENTD」

稽核

稽核記錄欄位與 UDM 欄位

下表列出稽核記錄類型的記錄欄位，以及對應的 UDM 欄位。

記錄欄位	UDM 欄位
acct	target.user.user_display_name
addr	principal.ip
arch	about.labels.key/value
auid	target.user.userid
cgroup	principal.process.file.full_path
cmd	target.process.command_line
comm	target.application
cwd	target.file.full_path
資料	about.labels.key/value
devmajor	about.labels.key/value
devminor	about.labels.key/value
egid	target.group.product_object_id
euid	target.user.userid
exe	target.process.file.full_path
exit	target.labels.key/value
家庭	如果「ip_protocol」== 2，則將 network.ip_protocol 設為「IP6IN4」，否則設為「UNKNOWN_IP_PROTOCOL」
filetype	target.file.mime_type
fsgid	target.group.product_object_id
fsuid	target.user.userid
gid	target.group.product_object_id
主機名稱	target.hostname
icmptype	network.ip_protocol 設為「ICMP」
id	如果 [audit_log_type] == "ADD_USER"，則 target.user.userid 會設為 "%{id}" 如果 [audit_log_type] == "ADD_GROUP"，則 target.group.product_object_id 會設為「%{id}」否則，會將 target.user.attribute.labels.key/value 設為 id
索引節點	target.resource.product_object_id
鍵	security_result.detection_fields.key/value
list	security_result.about.labels.key/value
模式	target.resource.attribute.permissions.name target.resource.attribute.permissions.type
name	target.file.full_path
new-disk	target.resource.name
new-mem	target.resource.attribute.labels.key/value
new-vcpu	target.resource.attribute.labels.key/value
new-net	pincipal.mac
new_gid	target.group.product_object_id
oauid	target.user.userid
ocomm	target.process.command_line
opid	target.process.pid
oses	network.session_id
ouid	target.user.userid
obj_gid	target.group.product_object_id
obj_role	target.user.attribute.role.name
obj_uid	target.user.userid
obj_user	target.user.user_display_name
ogid	target.group.product_object_id
ouid	target.user.userid
路徑	target.file.full_path
perm	target.asset.attribute.permissions.name
pid	target.process.pid
ppid	target.parent_process.pid
proto	如果 [ip_protocol] == 2，network.ip_protocol 會設為「IP6IN4」否則，network.ip_protocol 會設為「UNKNOWN_IP_PROTOCOL」
res	security_result.summary
結果	security_result.summary
saddr	security_result.detection_fields.key/value
sauid	target.user.attribute.labels.key/value
ses	network.session_id
sgid	target.group.product_object_id
sig	security_result.detection_fields.key/value
subj_user	target.user.user_display_name
success	如果 success=='yes'，security_result.summary 會設為 'system call was successful'；否則 security_result.summary 會設為 'systemcall was failed'
suid	target.user.userid
syscall	about.labels.key/value
終端機	target.labels.key/value
tty	target.labels.key/value
uid	如果 [audit_log_type] 為 [SYSCALL、SERVICE_START、ADD_GROUP、ADD_USER、MAC_IPSEC_EVENT、MAC_UNLBL_STCADD、OBJ_PID、CONFIG_CHANGE、SECCOMP、USER_CHAUTHTOK、USYS_CONFIG、DEL_GROUP、DEL_USER、USER_CMD、USER_MAC_POLICY_LOAD] 中的 uid 已設為 principal.user.userid 否則，系統會將 uid 設為 target.user.userid
vm	target.resource.name

稽核記錄類型與 UDM 事件類型

下表列出稽核記錄類型及其對應的 UDM 事件類型。

稽核記錄類型	UDM 事件類型	說明
ADD_GROUP	GROUP_CREATION	在新增使用者聊天室群組時觸發。
ADD_USER	USER_CREATION	在新增使用者空間使用者帳戶時觸發。
ANOM_ABEND	GENERIC_EVENT / PROCESS_TERMINATION	在程序異常結束 (如果已啟用，則會傳送可能導致核心傾印的訊號) 時觸發。
AVC	GENERIC_EVENT	觸發事件，以便記錄 SELinux 權限檢查。
CONFIG_CHANGE	USER_RESOURCE_UPDATE_CONTENT	當稽核系統設定經過修改時觸發。
CRED_ACQ	USER_LOGIN	在使用者取得使用者空間憑證時觸發。
CRED_DISP	USER_LOGOUT	在使用者處置使用者空間憑證時觸發。
CRED_REFR	USER_LOGIN	使用者重新整理使用者空間憑證時觸發。
CRYPTO_KEY_USER	USER_RESOURCE_ACCESS	觸發時會記錄用於加密目的的加密編譯金鑰 ID。
CRYPTO_SESSION	PROCESS_TERMINATION	觸發時會記錄在建立 TLS 工作階段期間設定的參數。
CWD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	觸發錄製目前的工作目錄。
DAEMON_ABORT	PROCESS_TERMINATION	當系統因錯誤而停止守護程式時，就會觸發此事件。
DAEMON_END	PROCESS_TERMINATION	在成功停止 Daemon 時觸發。
DAEMON_RESUME	PROCESS_UNCATEGORIZED	在 auditd 守護程式恢復記錄時觸發。
DAEMON_ROTATE	PROCESS_UNCATEGORIZED	當 auditd 守護程序輪替稽核記錄檔時觸發。
DAEMON_START	PROCESS_LAUNCH	在 auditd 守護程序啟動時觸發。
DEL_GROUP	GROUP_DELETION	在刪除使用者空間群組時觸發
待處理	USER_DELETION	在刪除使用者空間使用者時觸發
EXECVE	PROCESS_LAUNCH	觸發事件用於記錄 execve(2) 系統呼叫的引數。
MAC_CONFIG_CHANGE	GENERIC_EVENT	在 SELinux 布林值變更時觸發。
MAC_IPSEC_EVENT	SYSTEM_AUDIT_LOG_UNCATEGORIZED	觸發時機：偵測到 IPSec 事件或 IPSec 設定變更時，系統會記錄 IPSec 事件相關資訊。
MAC_POLICY_LOAD	GENERIC_EVENT	載入 SELinux 政策檔案時觸發。
MAC_STATUS	GENERIC_EVENT	當 SELinux 模式 (強制執行、寬鬆、關閉) 變更時觸發。
MAC_UNLBL_STCADD	SYSTEM_AUDIT_LOG_UNCATEGORIZED	在使用 NetLabel 提供的核心封包標示功能時，新增靜態標籤時觸發。
NETFILTER_CFG	GENERIC_EVENT	偵測到 Netfilter 鏈條修改時觸發。
OBJ_PID	SYSTEM_AUDIT_LOG_UNCATEGORIZED	觸發時會記錄傳送信號的程序相關資訊。
路徑	FILE_OPEN/GENERIC_EVENT	觸發事件可記錄檔案名稱路徑資訊。
SELINUX_ERR	GENERIC_EVENT	偵測到內部 SELinux 錯誤時觸發。
SERVICE_START	SERVICE_START	在服務啟動時觸發。
SERVICE_STOP	SERVICE_STOP	在服務停止時觸發。
SYSCALL	GENERIC_EVENT	觸發事件，以便記錄系統對核心的呼叫。
SYSTEM_BOOT	STATUS_STARTUP	系統開機時觸發。
SYSTEM_RUNLEVEL	STATUS_UPDATE	當系統的執行層級變更時觸發。
SYSTEM_SHUTDOWN	STATUS_SHUTDOWN	在系統關機時觸發。
USER_ACCT	SETTING_MODIFICATION	在修改使用者空間使用者帳戶時觸發。
USER_AUTH	USER_LOGIN	在偵測到使用者空間驗證嘗試時觸發。
USER_AVC	USER_UNCATEGORIZED	在產生使用者空間 AVC 訊息時觸發。
USER_CHAUTHTOK	USER_RESOURCE_UPDATE_CONTENT	在使用者帳戶屬性修改時觸發。
USER_CMD	USER_COMMUNICATION	在執行使用者空間的殼層指令時觸發。
USER_END	USER_LOGOUT	在使用者空間工作階段結束時觸發。
USER_ERR	USER_UNCATEGORIZED	在偵測到使用者帳戶狀態錯誤時觸發。
USER_LOGIN	USER_LOGIN	在使用者登入時觸發。
USER_LOGOUT	USER_LOGOUT	在使用者登出時觸發。
USER_MAC_POLICY_LOAD	RESOURCE_READ	在使用者空間守護程式載入 SELinux 政策時觸發。
USER_MGMT	USER_UNCATEGORIZED	觸發事件，以記錄使用者空間管理資料。
USER_ROLE_CHANGE	USER_CHANGE_PERMISSIONS	在使用者的 SELinux 角色變更時觸發。
USER_START	USER_LOGIN	在啟動使用者空間工作階段時觸發。
USYS_CONFIG	USER_RESOURCE_UPDATE_CONTENT	偵測到使用者空間系統設定變更時觸發。
VIRT_CONTROL	STATUS_UPDATE	在啟動、暫停或停止虛擬機器時觸發。
VIRT_MACHINE_ID	USER_RESOURCE_ACCESS	觸發事件，記錄標籤與虛擬機器的繫結狀態。
VIRT_RESOURCE	USER_RESOURCE_ACCESS	觸發事件，用於記錄虛擬機器的資源指派。

郵件

郵件記錄欄位至 UDM 欄位

下表列出郵件記錄類型的記錄欄位，以及對應的 UDM 欄位。

記錄欄位	UDM 欄位
類別	about.labels.key/value
Ctladdr	principal.user.user_display_name
來自	network.email.from
msgid	network.email.mail_id
Proto	network.application_protocol
轉發	intermediary.hostname intermediary.ip
大小	network.received_bytes
統計資料	security_result.summary
至	network.email.to

郵件記錄類型與 UDM 事件類型

下表列出郵件記錄類型及其對應的 UDM 事件類型。

郵件記錄類型	UDM 事件類型
sendmail	狀態更新
上車	EMAIL_UNCATEGORIZED
清理	狀態更新
qmgr	EMAIL_UNCATEGORIZED
smtp	狀態更新
local	EMAIL_UNCATEGORIZED

後續步驟

將資料擷取至 Google Security Operations

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。