« Auditd Auditd Manager 集成 »
Elastic 文档 Elastic 集成 Auditd

Auditd 日志集成

编辑

Auditd 日志集成

编辑

版本

3.20.2 (查看全部)

兼容的 Kibana 版本

8.11.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Auditd 日志集成收集并解析来自审计守护进程 (auditd) 的日志。

兼容性

编辑

该集成已在 CentOS 6 和 CentOS 7 等操作系统上使用 auditd 的日志进行了测试。

此集成不适用于 Windows。

Auditd 日志

编辑
示例

log 的示例事件如下所示

{
    "@timestamp": "2016-01-03T00:37:51.394Z",
    "agent": {
        "ephemeral_id": "4948283b-ae19-4913-b625-f18d574838dd",
        "id": "0e729d36-7ce3-4bd5-885c-ec10bc843703",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.6.0"
    },
    "auditd": {
        "log": {
            "proctitle": "bash",
            "sequence": 194438
        }
    },
    "data_stream": {
        "dataset": "auditd.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "0e729d36-7ce3-4bd5-885c-ec10bc843703",
        "snapshot": true,
        "version": "8.6.0"
    },
    "event": {
        "action": "proctitle",
        "agent_id_status": "verified",
        "dataset": "auditd.log",
        "ingested": "2023-01-13T11:42:40Z",
        "kind": "event"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": false,
        "hostname": "docker-fleet-agent",
        "id": "4547978d96e74314a1c62b73cc5cad86",
        "ip": [
            "172.22.0.4"
        ],
        "mac": [
            "02-42-AC-16-00-04"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.15.49-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.5 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/audit.log"
        },
        "offset": 1706
    },
    "tags": [
        "auditd-log"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

date

auditd.log.ARCH

keyword

auditd.log.AUID

keyword

auditd.log.EGID

keyword

auditd.log.EUID

keyword

auditd.log.FSGID

keyword

auditd.log.FSUID

keyword

auditd.log.GID

keyword

auditd.log.SGID

keyword

auditd.log.SUID

keyword

auditd.log.SYSCALL

keyword

auditd.log.UID

keyword

auditd.log.a0

系统调用的第一个参数。

keyword

auditd.log.a1

系统调用的第二个参数。

keyword

auditd.log.a2

系统调用的第三个参数。

keyword

auditd.log.a3

系统调用的第四个参数。

keyword

auditd.log.addr

ip

auditd.log.audit_failure

keyword

auditd.log.avc.action

keyword

auditd.log.avc.request

keyword

auditd.log.capability

keyword

auditd.log.cipher

keyword

auditd.log.context

keyword

auditd.log.data

keyword

auditd.log.default-context

keyword

auditd.log.dev

keyword

auditd.log.direction

keyword

auditd.log.dst_prefixlen

long

auditd.log.entries

long

auditd.log.family

keyword

auditd.log.fe

keyword

auditd.log.fi

keyword

auditd.log.format

keyword

auditd.log.fp

keyword

auditd.log.fver

keyword

auditd.log.gpg_res

keyword

auditd.log.hostname

keyword

auditd.log.id

keyword

auditd.log.img-ctx

keyword

auditd.log.ino

keyword

auditd.log.inode

keyword

auditd.log.item

item 字段指示总项目数中的哪一项。此数字从零开始;值 0 表示它是第一项。

keyword

auditd.log.items

事件中的项目数。

keyword

auditd.log.kernel

keyword

auditd.log.key

记录与在审计日志中生成特定事件的规则关联的用户定义的字符串。

keyword

auditd.log.key_enforce

boolean

auditd.log.kind

keyword

auditd.log.ksize

long

auditd.log.laddr

ip

auditd.log.list

keyword

auditd.log.lport

long

auditd.log.major

keyword

auditd.log.minor

keyword

auditd.log.mode

keyword

auditd.log.model

keyword

auditd.log.name

keyword

auditd.log.new-level

keyword

auditd.log.new_auid

对于登录事件,这是新的审计 ID。即使用户的身份发生更改(如成为 root 用户),审计 ID 也可用于跟踪用户未来的事件。

keyword

auditd.log.new_pe

keyword

auditd.log.new_pi

keyword

auditd.log.new_pp

keyword

auditd.log.new_ses

对于登录事件,这是新的会话 ID。它可用于通过会话 ID 将用户绑定到未来的事件。

keyword

auditd.log.node

keyword

auditd.log.obj

keyword

auditd.log.objtype

keyword

auditd.log.old

keyword

auditd.log.old-level

keyword

auditd.log.old_auid

对于登录事件,这是此登录之前用户使用的旧审计 ID。

keyword

auditd.log.old_pe

keyword

auditd.log.old_pi

keyword

auditd.log.old_pp

keyword

auditd.log.old_ses

对于登录事件,这是此登录之前用户使用的旧会话 ID。

keyword

auditd.log.op

keyword

auditd.log.original_field

如果事件是从丰富的格式 auditd 日志解析的,则为原始字段名称。

keyword

auditd.log.path

keyword

auditd.log.permissive

keyword

auditd.log.pfs

keyword

auditd.log.proctitle

keyword

auditd.log.rdev

keyword

auditd.log.reason

keyword

auditd.log.record_type

keyword

auditd.log.request

keyword

auditd.log.reset

keyword

auditd.log.root_dir

keyword

auditd.log.rport

long

auditd.log.saddr

keyword

auditd.log.saddr_fam

keyword

auditd.log.sauid

keyword

auditd.log.scontext

keyword

auditd.log.selected-context

keyword

auditd.log.sequence

审计事件序列号。

long

auditd.log.ses

keyword

auditd.log.sig

keyword

auditd.log.spid

keyword

auditd.log.src_prefixlen

long

auditd.log.subj

keyword

auditd.log.success

boolean

auditd.log.sw

keyword

auditd.log.sw_type

keyword

auditd.log.syscall

keyword

auditd.log.table

keyword

auditd.log.tclass

keyword

auditd.log.tcontext

keyword

auditd.log.tty

keyword

auditd.log.uid

keyword

auditd.log.unit

keyword

auditd.log.uuid

keyword

auditd.log.ver

keyword

auditd.log.virt

keyword

auditd.log.vm

keyword

auditd.log.vm-ctx

keyword

auditd.log.xdevice

keyword

cloud.account.id

用于标识多租户环境中不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

keyword

cloud.availability_zone

此主机运行所在的可用区。

keyword

cloud.image.id

云实例的映像 ID。

keyword

cloud.instance.id

主机实例 ID。

keyword

cloud.instance.name

主机实例名称。

keyword

cloud.machine.type

主机机器类型。

keyword

cloud.project.id

Google Cloud 中项目的名称。

keyword

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

keyword

cloud.region

此主机运行所在的区域。

keyword

container.id

唯一容器 ID。

keyword

container.image.name

构建容器所基于的映像的名称。

keyword

container.labels

映像标签。

object

container.name

容器名称。

keyword

container.runtime

管理此容器的运行时。

keyword

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.address

某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于它是哪一个。

keyword

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段,必须存在于所有事件中。当跨多个可能符合略有不同的 ECS 版本的索引进行查询时,此字段使集成能够适应事件的架构版本。

keyword

error.message

错误消息。

match_only_text

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例有 group-addprocess-startedfile-created。该值通常由实现者定义。

keyword

event.dataset

事件数据集

constant_keyword

event.ingested

事件到达中央数据存储时的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

date

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于演示日志完整性或在需要完整日志消息(在将其拆分为多个部分之前)的情况下,例如重新索引。此字段未建立索引,并且禁用 doc_values。无法搜索,但可以从 _source 检索。如果用户希望覆盖此字段并为其建立索引,请参阅 Elasticsearch 参考中的 字段数据类型

keyword

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示事件从生成事件的实体的角度来看是否表示成功或失败。请注意,当在多个事件中描述单个事务时,每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外,请注意,并非所有事件都具有关联的结果。例如,通常不会为度量事件、具有 event.type:info 的事件或任何结果没有逻辑意义的事件填充此字段。

keyword

group.id

系统/平台上组的唯一标识符。

keyword

group.name

组的名称。

keyword

host.architecture

操作系统体系结构。

keyword

host.containerized

如果主机是容器。

boolean

host.domain

主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。

keyword

host.hostname

主机的 hostname。它通常包含主机机器上 hostname 命令返回的内容。

keyword

host.id

唯一主机 ID。由于主机名并非始终唯一,因此请使用在您的环境中具有意义的值。示例:当前 beat.name 的用法。

keyword

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。

keyword

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定的域名或用户指定的名称。发送方决定要使用哪个值。

keyword

host.os.build

操作系统版本信息。

keyword

host.os.codename

操作系统代号(如果有)。

keyword

host.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

keyword

host.os.kernel

作为原始字符串的操作系统内核版本。

keyword

host.os.name

操作系统名称(不带版本)。

keyword

host.os.name.text

host.os.name 的多字段。

text

host.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

keyword

host.os.version

作为原始字符串的操作系统版本。

keyword

host.type

主机类型。对于云提供商,这可以是诸如 t2.medium 之类的机器类型。如果虚拟机,这可以是容器,例如,或您的环境中其他有意义的信息。

keyword

input.type

输入类型

keyword

log.file.path

此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件读取的,则不要填充此字段。

keyword

log.offset

日志偏移量

long

message

对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始 message 字段的结构化日志,可以连接其他字段以形成事件的易读摘要。如果存在多条消息,则可以将它们组合成一条消息。

match_only_text

network.direction

网络流量方向。当从基于主机的监控环境中映射事件时,请从主机的角度使用“ingress”或“egress”值填充此字段。当从基于网络或边界的监控环境中映射事件时,请从网络边界的角度使用“inbound”、“outbound”、“internal”或“external”值填充此字段。请注意,“internal”不是跨越边界,而是描述边界内两台主机之间的通信。另请注意,“external”是指边界外部两台主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。

keyword

process.args

进程参数数组,从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

keyword

process.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能表示可疑活动。

long

process.executable

进程可执行文件的绝对路径。

keyword

process.executable.text

process.executable 的多字段。

match_only_text

process.exit_code

如果这是一个终止事件,则为进程的退出代码。如果事件没有退出代码,则该字段应不存在(例如,进程启动)。

long

process.name

进程名称。有时也称为程序名称或类似名称。

keyword

process.name.text

process.name 的多字段。

match_only_text

process.parent.pid

进程 ID。

long

process.pid

进程 ID。

long

process.working_directory

进程的工作目录。

keyword

process.working_directory.text

process.working_directory 的多字段。

match_only_text

source.address

某些事件源地址的定义是模棱两可的。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于它是哪个。

keyword

source.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

long

source.as.organization.name

组织名称。

keyword

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.geo.city_name

城市名称。

keyword

source.geo.continent_name

大洲名称。

keyword

source.geo.country_iso_code

国家/地区 ISO 代码。

keyword

source.geo.country_name

国家/地区名称。

keyword

source.geo.location

经度和纬度。

geo_point

source.geo.region_iso_code

地区 ISO 代码。

keyword

source.geo.region_name

地区名称。

keyword

source.ip

源 IP 地址(IPv4 或 IPv6)。

ip

tags

用于标记每个事件的关键字列表。

keyword

user.audit.group.id

系统/平台上组的唯一标识符。

keyword

user.audit.group.name

组的名称。

keyword

user.audit.id

用户的一个或多个唯一标识符。

keyword

user.audit.name

用户的简称或登录名。

keyword

user.effective.group.id

系统/平台上组的唯一标识符。

keyword

user.effective.group.name

组的名称。

keyword

user.effective.id

用户的唯一标识符。

keyword

user.effective.name

用户的简称或登录名。

keyword

user.effective.name.text

user.effective.name 的多字段。

match_only_text

user.filesystem.group.id

系统/平台上组的唯一标识符。

keyword

user.filesystem.group.name

组的名称。

keyword

user.filesystem.id

用户的一个或多个唯一标识符。

keyword

user.filesystem.name

用户的简称或登录名。

keyword

user.group.id

系统/平台上组的唯一标识符。

keyword

user.id

用户的唯一标识符。

keyword

user.name

用户的简称或登录名。

keyword

user.name.text

user.name 的多字段。

match_only_text

user.owner.group.id

系统/平台上组的唯一标识符。

keyword

user.owner.group.name

组的名称。

keyword

user.owner.id

用户的一个或多个唯一标识符。

keyword

user.owner.name

用户的简称或登录名。

keyword

user.saved.group.id

系统/平台上组的唯一标识符。

keyword

user.saved.group.name

组的名称。

keyword

user.saved.id

用户的一个或多个唯一标识符。

keyword

user.saved.name

用户的简称或登录名。

keyword

user.target.group.id

系统/平台上组的唯一标识符。

keyword

user.target.group.name

组的名称。

keyword

user.target.id

用户的唯一标识符。

keyword

user.target.name

用户的简称或登录名。

keyword

user.target.name.text

user.target.name 的多字段。

match_only_text

user.terminal

用户正在执行观察到的活动的终端或 tty 设备。

keyword

更新日志

编辑
更新日志
版本 详情 Kibana 版本

3.20.2

错误修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三重大括号 Mustache 模板。

8.11.0 或更高版本

3.20.1

错误修复 (查看拉取请求)
保留 auditd.log.record_type 并回退到 auditd.log.SYSCALL

8.11.0 或更高版本

3.20.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.11.0 或更高版本

3.19.2

错误修复 (查看拉取请求)
修复无效的事件类型。

8.7.1 或更高版本

3.19.1

增强功能 (查看拉取请求)
更改了所有者

8.7.1 或更高版本

3.19.0

增强功能 (查看拉取请求)
处理结构化数据中的可变空格。

增强功能 (查看拉取请求)
处理 AVC 标头。

8.7.1 或更高版本

3.18.0

增强功能 (查看拉取请求)
处理 ENRICHED 审计格式。

8.7.1 或更高版本

3.17.2

错误修复 (查看拉取请求)
修复 exclude_files 模式。

8.7.1 或更高版本

3.17.1

错误修复 (查看拉取请求)
修复重复字段的处理。

8.7.1 或更高版本

3.17.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.7.1 或更高版本

3.16.0

增强功能 (查看拉取请求)
改进 event.original 检查以避免设置时出错。

8.7.1 或更高版本

3.15.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.7.1 或更高版本

3.14.0

增强功能 (查看拉取请求)
程序包清单中的 format_version 从 2.11.0 更改为 3.0.0。从程序包清单中删除了点状 YAML 键。将 owner.type: elastic 添加到程序包清单。

8.7.1 或更高版本

3.13.1

错误修复 (查看拉取请求)
删除程序包写入任意 logs-* 数据流的不必要权限。

8.7.1 或更高版本

3.13.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成仪表板和保存的搜索,并在安全解决方案 UI 中显示。

8.7.1 或更高版本

3.12.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.9.0。

8.7.1 或更高版本

3.11.0

增强功能 (查看拉取请求)
将仪表板转换为 Lens。

8.7.1 或更高版本

3.10.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.1.0 或更高版本

3.9.0

增强功能 (查看拉取请求)
添加权限以将事件重新路由到 logs-- 以用于日志数据流。

8.1.0 或更高版本

3.8.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.8.0。

8.1.0 或更高版本

3.7.0

增强功能 (查看拉取请求)
将程序包规范版本更新到 2.7.0。

8.1.0 或更高版本

3.6.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.7.0。

8.1.0 或更高版本

3.5.1

增强功能 (查看拉取请求)
添加了类别和/或子类别。

8.1.0 或更高版本

3.5.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.6.0。

8.1.0 或更高版本

3.4.2

错误修复 (查看拉取请求)
允许处理带有带引号的空格的消息。

8.1.0 或更高版本

3.4.1

增强功能 (查看拉取请求)
将可视化迁移到仪表板中的按值,以最大限度地减少保存的对象混乱并减少加载时间

8.1.0 或更高版本

3.4.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.5.0。

8.0.0 或更高版本

3.3.4

错误修复 (查看拉取请求)
删除重复字段。

8.0.0 或更高版本

3.3.3

增强功能 (查看拉取请求)
使用 ECS geo.location 定义。

8.0.0 或更高版本

3.3.2

增强功能 (查看拉取请求)
删除未使用的可视化

8.0.0 或更高版本

3.3.1

错误修复 (查看拉取请求)
添加 event.original 的映射。

8.0.0 或更高版本

3.3.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.4.0

8.0.0 或更高版本

3.2.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.3.0。

8.0.0 或更高版本

3.1.0

增强功能 (查看拉取请求)
将标题更改为 Auditd 日志

8.0.0 或更高版本

3.0.0

增强功能 (查看拉取请求)
将地图可视化从 tile_map 迁移到地图对象

8.0.0 或更高版本

2.2.0

增强功能 (查看拉取请求)
更新到 ECS 8.2

7.17.0 或更高版本
8.0.0 或更高版本

2.1.2

Bug 修复 (查看拉取请求)
根据 ECS 规范设置 event.outcome 值

7.17.0 或更高版本
8.0.0 或更高版本

2.1.1

增强 (查看拉取请求)
添加多字段的文档

7.17.0 或更高版本
8.0.0 或更高版本

2.1.0

增强 (查看拉取请求)
将 EXECVE 参数存储在 process.args 数组中。

7.17.0 或更高版本
8.0.0 或更高版本

2.0.0

增强 (查看拉取请求)
更新到 ECS 8.0

增强 (查看拉取请求)
process.ppid 被 process.parent.pid 替换(破坏性变更)

7.17.0 或更高版本
8.0.0 或更高版本

1.3.1

Bug 修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.14.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将测试 IP 更改为 GeoIP 支持的集合

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.14.0 或更高版本
8.0.0 或更高版本

1.2.4

增强 (查看拉取请求)
与指南统一

7.14.0 或更高版本

1.2.3

增强 (查看拉取请求)
更新标题和描述。

1.2.2

Bug 修复 (查看拉取请求)
确保布尔字段为 true/false

7.14.0 或更高版本

1.2.1

Bug 修复 (查看拉取请求)
修复检查 *forwarded* 标记的逻辑

1.2.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

7.14.0 或更高版本

1.1.3

增强 (查看拉取请求)
转换为生成的 ECS 字段

1.1.2

增强 (查看拉取请求)
更新到 ECS 1.11.0

1.1.1

增强 (查看拉取请求)
转义文档中的特殊字符

1.1.0

增强 (查看拉取请求)
更新集成描述

1.0.0

增强 (查看拉取请求)
使其 GA

增强 (查看拉取请求)
设置“event.module”和“event.dataset”

7.14.0 或更高版本

0.2.0

增强 (查看拉取请求)
更新到 ECS 1.10.0 并应用更改以准备软件包 GA

0.1.2

增强 (查看拉取请求)
在 ingest pipeline 中设置版本,并使 event.original 可选

0.1.1

增强 (查看拉取请求)
更新到 ECS 1.9.0

0.1.0

增强 (查看拉取请求)
添加使用 ECS 1.8 字段的更改。

0.0.1

增强 (查看拉取请求)
初始版本

« Auditd Auditd Manager 集成 »