Coletar registros de auditoria do Linux e de sistemas AIX
Compatível com:
Google SecOps
SIEM
Esse analisador processa registros de auditoria do Linux no formato SYSLOG, transformando-os em UDM. Ele processa mensagens de registro em texto simples e formatadas em JSON, extraindo campos usando técnicas de análise grok, XML e JSON, e os mapeia para os campos apropriados da UDM com base no tipo de evento. O analisador também processa formatos específicos registro de auditoria de sistemas AIX e enriquece o UDM com outros campos, como security_result e detalhes intermediários.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Confira se você tem acesso root ao host do Auditd.
- Confira se você instalou o rsyslog no host do Auditd.
- Verifique se você tem um host Windows 2012 SP2 ou mais recente ou Linux com systemd.
- Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
- Para instalação no Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Para instalação no Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Outras opções de instalação estão disponíveis neste guia de instalação.
Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps
- Acesse a máquina em que o Bindplane está instalado.
Edite o arquivo
config.yamlda seguinte forma:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: auditd raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsReinicie o agente do Bindplane para aplicar as mudanças usando o seguinte comando:
sudo systemctl bindplane restart
Como exportar o Syslog do Auditd
- Acesse a máquina de onde você quer exportar os registros de auditoria.
Abra o arquivo de configuração do Auditd (normalmente localizado em
/etc/audit/auditd.conf).sudo vi /etc/audit/auditd.confEncontre ou adicione as seguintes linhas para configurar o auditd:
active = yes output = syslog log_format = ENRICHED dispatcher = /sbin/audispd
Opcional: especifique a facilidade do Syslog. Adicione ou modifique a seguinte linha em auditd.conf:
```none
syslog_facility = LOG_AUTHPRIV
```
Abra o arquivo de configuração do audispd (normalmente localizado em
/etc/audisp/plugins.d/syslog.conf):sudo vi /etc/audisp/plugins.d/syslog.confEncontre ou adicione as seguintes linhas para configurar o audispd:
active = yes direction = out path = builtin_syslog type = builtin args = LOG_INFO format = stringReinicie o serviço Auditd para aplicar as mudanças:
sudo systemctl restart auditdUse uma ferramenta como
tailpara monitorar o syslog e verificar se os registros do Auditd estão sendo enviados:tail -f /var/log/syslog | grep auditd # Follow syslog and filter for auditd messages (path may vary depending on your system)Edite o
rsyslog.confou crie uma configuração personalizada:sudo vi /etc/rsyslog.d/50-audit-forwarding.confAdicione uma regra para encaminhar registros:
if $programname == 'auditd' then @@<Bindplane_Agent>:<Bindplane_Port>- Use
@para UDP ou@@para TCP - Substitua
<BindPlane_Agent>pelo IP/nome do host do servidor. - Substitua
<BindPlane_Port>pela porta do seu servidor.
Reinicie o serviço rsyslog para aplicar as mudanças:
sudo systemctl restart rsyslog
Exemplos de registros do sistema de auditoria do Linux (AuditD) compatíveis
SYSLOG + KV (Linux AuditD)
events_for_log_entry: { events: { timestamp: { seconds: 1718778607 nanos: 898000000 } idm: { read_only_udm: { metadata: { product_log_id: "5512409" event_timestamp: { seconds: 1718778607 nanos: 898000000 } event_type: USER_LOGIN vendor_name: "Linux" product_name: "AuditD" product_event_type: "USER_AUTH" } principal: { hostname: "sec-dev-01.internal" user: { userid: "0" user_display_name: "secuser" } process: { pid: "3306219" } asset: { hostname: "sec-dev-01.internal" ip: "192.168.1.5" } ip: "192.168.1.5" application: "ssh" platform: LINUX } target: { user: { userid: "0" user_display_name: "secuser" } process: { file: { full_path: "/usr/sbin/secure_shell" } } } intermediary: { hostname: "sec-dev-01.internal" } about: { user: { userid: "sysadmin" user_display_name: "unset" } } security_result: { detection_fields: { key: "AUID0" value: "unset" } detection_fields: { key: "UID0" value: "sysadmin" } detection_fields: { key: "acct0" value: "secuser" } detection_fields: { key: "addr0" value: "192.168.1.5" } detection_fields: { key: "auid0" value: "sysadmin" } detection_fields: { key: "exe0" value: "/usr/sbin/secure_shell" } detection_fields: { key: "grantors0" value: "pam_unix" } detection_fields: { key: "hostname0" value: "192.168.1.5" } detection_fields: { key: "msg0" value: "op=PAM:authentication" } detection_fields: { key: "pid0" value: "3306219" } detection_fields: { key: "res0" value: "success" } detection_fields: { key: "ses0" value: "4294967295" } detection_fields: { key: "terminal0" value: "ssh" } detection_fields: { key: "uid0" value: "0" } detection_fields: { key: "AUID_kv0" value: "AUID0:unset" } detection_fields: { key: "UID_kv0" value: "UID0:sysadmin" } detection_fields: { key: "acct_kv0" value: "acct0:secuser" } detection_fields: { key: "addr_kv0" value: "addr0:192.168.1.5" } detection_fields: { key: "auid_kv0" value: "auid0:sysadmin" } detection_fields: { key: "exe_kv0" value: "exe0:/usr/sbin/secure_shell" } detection_fields: { key: "grantors_kv0" value: "grantors0:pam_unix" } detection_fields: { key: "hostname_kv0" value: "hostname0:192.168.1.5" } detection_fields: { key: "msg_kv0" value: "msg0:op=PAM:authentication" } detection_fields: { key: "pid_kv0" value: "pid0:3306219" } detection_fields: { key: "res_kv0" value: "res0:success" } detection_fields: { key: "ses_kv0" value: "ses0:4294967295" } detection_fields: { key: "terminal_kv0" value: "terminal0:ssh" } detection_fields: { key: "uid_kv0" value: "uid0:0" } summary: "authentication secuser" action: ALLOW action_details: "success" } network: { session_id: "4294967295" application_protocol: SSH } extensions: { auth: {} } } } } }SYSLOG (genérico)
events_for_log_entry: { events: { timestamp: { seconds: 1754848621 } idm: { read_only_udm: { metadata: { event_timestamp: { seconds: 1754848621 } event_type: PROCESS_LAUNCH vendor_name: "Linux" product_name: "AuditD" product_event_type: "CROND" description: "(monitorsvc) CMD (/opt/monitor/bin/scheduler -j /opt/monitor/cache/jobs/check.jx)" } principal: { hostname: "log-host-05" user: { userid: "monitorsvc" } process: { pid: "124662" } asset: { hostname: "log-host-05" } platform: LINUX } target: { process: { command_line: "/opt/monitor/bin/scheduler -j /opt/monitor/cache/jobs/check.jx" } } intermediary: { hostname: "log-host-05" } } } } }JSON (registro do Cloud Storage ou Auditbeat)
events_for_log_entry: { events: { timestamp: { seconds: 1611615589 nanos: 212000000 } idm: { read_only_udm: { metadata: { product_log_id: "32946" event_timestamp: { seconds: 1611615589 nanos: 212000000 } collected_timestamp: { seconds: 1609752843 nanos: 349722230 } event_type: SERVICE_START vendor_name: "Linux" product_name: "AuditD" product_event_type: "SERVICE_START" } additional: { fields: { key: "insertId" value: { string_value: "tf9cuofcnbn6i" } } fields: { key: "logName" value: { string_value: "projects/prj-secops-dev/logs/auditd" } } } principal: { hostname: "gce-test-web" user: { userid: "0" } process: { pid: "1" } asset: { hostname: "gce-test-web" } application: "sysmgr" platform: LINUX } target: { process: { file: { full_path: "/usr/bin/sysmgr" } } cloud: { project: { name: "prj-secops-dev" } } resource: { resource_subtype: "gce_instance" product_object_id: "1000000000000000001" attribute: { cloud: { availability_zone: "us-east4-a" } } } } about: { user: { userid: "9001" user_display_name: "unset" } } security_result: { detection_fields: { key: "AUID0" value: "unset" } detection_fields: { key: "UID0" value: "secsvc" } detection_fields: { key: "auid0" value: "9001" } detection_fields: { key: "comm0" value: "sysmgr" } detection_fields: { key: "exe0" value: "/usr/bin/sysmgr" } detection_fields: { key: "msg0" value: "unit=gce-cert-renew" } detection_fields: { key: "pid0" value: "1" } detection_fields: { key: "res0" value: "success" } detection_fields: { key: "ses0" value: "4294967295" } detection_fields: { key: "subj0" value: "system_u:system_r:init_t:s0" } detection_fields: { key: "uid0" value: "0" } detection_fields: { key: "AUID_kv0" value: "AUID0:unset" } detection_fields: { key: "UID_kv0" value: "UID0:secsvc" } detection_fields: { key: "auid_kv0" value: "auid0:9001" } detection_fields: { key: "comm_kv0" value: "comm0:sysmgr" } detection_fields: { key: "exe_kv0" value: "exe0:/usr/bin/sysmgr" } detection_fields: { key: "msg_kv0" value: "msg0:unit=gce-cert-renew" } detection_fields: { key: "pid_kv0" value: "pid0:1" } detection_fields: { key: "res_kv0" value: "res0:success" } detection_fields: { key: "ses_kv0" value: "ses0:4294967295" } detection_fields: { key: "subj_kv0" value: "subj0:system_u:system_r:init_t:s0" } detection_fields: { key: "uid_kv0" value: "uid0:0" } summary: "unit=gce-cert-renew success" action: ALLOW action_details: "success" } network: { session_id: "4294967295" } } } } }JSON (evento do Windows)
JSON (Windows Event) events_for_log_entry: { events: { timestamp: { seconds: 1711012395 nanos: 723000000 } idm: { read_only_udm: { metadata: { event_timestamp: { seconds: 1711012395 nanos: 723000000 } event_type: USER_LOGIN vendor_name: "Microsoft" product_name: "Microsoft-Windows-Security-Auditing" product_event_type: "4624" description: "An account was successfully logged on" } additional: { fields: { key: "Message" value: { string_value: "An account was successfully logged on." "Subject:Security ID:S-1-0-0" "Account Name:-... (omitted for brevity) ..." "New Logon:Security ID:S-1-5-21-1234567890-123456789-1234567890-2001" "Account Name:svc_log_collector" "Account Domain:SEC_LAB... (omitted for brevity) ..." "Network Information:" "Workstation Name:DEV-WS-42" "Source Network Address:172.16.1.100" "Source Port:53856..." } } fields: { key: "Workstation Name" value: { string_value: "DEV-WS-42" } } } principal: { hostname: "DEV-WS-42" process: {} asset: { hostname: "DEV-WS-42" ip: "172.16.1.100" } ip: "172.16.1.100" port: 53856 labels: { key: "Workstation Name" value: "DEV-WS-42" } } target: { user: { userid: "svc_log_collector" windows_sid: "S-1-5-21-1234567890-123456789-1234567890-2001" } administrative_domain: "SEC_LAB" } intermediary: { hostname: "win-server-01" } security_result: { rule_name: "EventID: 4624" action: ALLOW } extensions: { auth: { mechanism: MECHANISM_UNSPECIFIED } } } } } }SYSLOG + XML (Solaris AuditD)
{ "events_for_log_entry": { "events": { "timestamp": { "seconds": 1735824379 }, "idm": { "read_only_udm": { "metadata": { "product_log_id": "1638473100678580410", "event_timestamp": { "seconds": 1735824379 }, "event_type": "PROCESS_LAUNCH", "vendor_name": "Linux", "product_name": "AuditD", "product_version": "2", "product_event_type": "AUE_EXECVE", "description": "<record version=\"2\" event=\"23\" host=\"192.0.2.1\" iso8601=\"1638473100678580410\">\n" " <ntrs hostname=\"sanitized-host-01\" eventstring=\"AUE_EXECVE\" timestamp=\"1638473100.678580410\" ppid=\"2853\"></ntrs>\n" " <path>/usr/bin/find</path>\n" " <attribute mode=\"100555\" uid=\"0\" gid=\"2\" fsid=\"256\" nodeid=\"722\" device=\"18446744073709551615\"/>\n" " <exec_args>\n" " <arg>find</arg>\n" " <arg>/var/log/secure</arg>\n" " <arg>-type</arg>\n" " <arg>f</arg>\n" " <arg>-xdev</arg>\n" " <arg>-prune</arg>\n" " <arg>-name</arg>\n" " <arg>secure_data_file.txt</arg>\n" " <arg>-mtime</arg>\n" " <arg>+3</arg>\n" " <arg>-exec</arg>\n" " <arg>rm</arg>\n" " <arg>-f</arg>\n" " <arg>{}</arg>\n" " <arg>;</arg>\n" " </exec_args>\n" " <path>/lib/ld.so.1</path>\n" " <attribute mode=\"100755\" uid=\"0\" gid=\"2\" fsid=\"256\" nodeid=\"449952\" device=\"18446744073709551615\"/>\n" " <subject audit-uid=\"99999\" uid=\"0\" gid=\"0\" ruid=\"0\" rgid=\"0\" pid=\"2871\" sid=\"1898719819\" tid=\"9307 196630 192.0.2.10\"/>\n" " <return errval=\"0\" retval=\"0\"/>\n" " <sequence seq-num=\"6849431\"/>\n" "</record>" }, "principal": { "hostname": "sanitized-host-01", "user": { "userid": "99999" }, "asset": { "hostname": "sanitized-host-01", "ip": "192.0.2.1" }, "ip": "192.0.2.1", "platform": "LINUX" }, "target": { "process": { "parent_process": { "pid": "2853" }, "command_line": "find /var/log/secure -type f -xdev -prune -name secure_data_file.txt -mtime +3 -exec rm -f {} ;" } }, "intermediary": { "hostname": "internal-proxy.local" }, "security_result": { "detection_fields": [ { "key": "event", "value": "event: 23" }, { "key": "uid", "value": "uid: 0" }, { "key": "gid", "value": "gid: 0" }, { "key": "ruid", "value": "ruid: 0" }, { "key": "rgid", "value": "rgid: 0" }, { "key": "pid", "value": "pid: 2871" }, { "key": "sid", "value": "sid: 1898719819" }, { "key": "tid", "value": "tid: 9307 196630 192.0.2.10" }, { "key": "seq_num", "value": "seq_num: 6849431" }, { "key": "errval", "value": "errval: 0" }, { "key": "retval", "value": "retval: 0" }, { "key": "path", "value": "path: /usr/bin/find" }, { "key": "device", "value": "device: 18446744073709551615" }, { "key": "mode", "value": "mode: 100555" }, { "key": "fsid", "value": "fsid: 256" }, { "key": "nodeid", "value": "nodeid: 722" } ] } } } } } }
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Observação |
|---|---|---|
acct |
target.user.user_display_name |
O valor de acct do registro bruto é mapeado para o campo target.user.user_display_name no UDM. Representa a conta associada ao evento. |
addr |
principal.ip |
O valor de addr do registro bruto é mapeado para o campo principal.ip no UDM. Representa o endereço IP do principal envolvido no evento. |
additional.fields |
additional.fields |
Outros campos de pares de chave-valor ou rótulos analisados são adicionados à matriz additional.fields na UDM. |
agent.googleapis.com/log_file_path |
(Não mapeado) | Esse rótulo está presente em alguns registros brutos, mas não é mapeado para o objeto IDM na UDM. |
algo |
(Não usado neste exemplo) | Embora esteja presente no analisador e em alguns registros brutos, esse campo não é usado no exemplo fornecido e não aparece no UDM final. |
application |
principal.application |
Derivado do campo terminal no registro bruto ou de outros campos, como exe, dependendo do tipo de registro. Representa o aplicativo envolvido. |
arch |
security_result.about.platform_version |
A arquitetura do campo arch do registro bruto é mapeada para security_result.about.platform_version. |
auid |
about.user.userid, security_result.detection_fields.auid |
O ID do usuário de auditoria (auid) é mapeado para about.user.userid e adicionado como um campo de detecção em security_result. |
cmd |
target.process.command_line |
O comando do campo cmd do registro bruto é mapeado para target.process.command_line. |
collection_time |
(Não mapeado) | Esse campo é o horário de coleta de registros e não é mapeado para o objeto IDM na UDM. |
comm |
principal.application |
O nome do comando (comm) é mapeado para principal.application. |
COMMAND |
target.process.command_line |
|
compute.googleapis.com/resource_name |
principal.hostname |
O nome do recurso desse rótulo é mapeado para principal.hostname. |
create_time |
(Não mapeado) | Esse campo não é mapeado para o objeto IDM na UDM. |
cwd |
security_result.detection_fields.cwd |
O diretório de trabalho atual (cwd) é adicionado como um campo de detecção em security_result. |
data |
(Processado) | O campo data contém a mensagem de registro principal e é processado pelo analisador para extrair vários campos. Ele não é mapeado diretamente para um único campo do UDM. |
exe |
target.process.file.full_path |
O caminho executável (exe) é mapeado para target.process.file.full_path. |
extensions.auth.type |
extensions.auth.type |
O tipo de autenticação é definido pela lógica do analisador com base no tipo de evento. Geralmente definido como MACHINE ou AUTHTYPE_UNSPECIFIED. |
fp |
network.tls.client.certificate.sha256 |
A impressão digital (fp) é analisada para extrair o hash SHA256 e mapeada para network.tls.client.certificate.sha256. |
_Item_Id |
metadata.product_log_id |
|
insertId |
(Não mapeado) | Esse campo não é mapeado para o objeto IDM na UDM. |
jsonPayload.message |
(Processado) | Esse campo contém a mensagem de registro principal no formato JSON e é processado pelo analisador. |
key |
security_result.about.registry.registry_key |
O campo de chave é mapeado para security_result.about.registry.registry_key. |
labels |
(Processado) | Os rótulos do registro bruto são processados e mapeados para vários campos do UDM ou adicionados a additional.fields. |
logName |
(Não mapeado) | Esse campo não é mapeado para o objeto IDM na UDM. |
metadata.product_event_type |
SECCOMP | A curva de troca de chaves é extraída do registro bruto e mapeada para esse campo. |
msg |
security_result.summary |
A mensagem (msg) costuma ser usada para preencher o campo security_result.summary. |
network.application_protocol |
network.application_protocol |
Definido pela lógica do analisador com base no tipo de evento (por exemplo, SSH, HTTP). |
network.direction |
network.direction |
Definido pela lógica do analisador com base no tipo de evento (por exemplo, INBOUND, OUTBOUND). |
network.ip_protocol |
network.ip_protocol |
Definido pela lógica do analisador, geralmente como TCP para eventos SSH. |
network.session_id |
network.session_id |
Mapeado do campo ses ou derivado de outros campos. |
network.tls.cipher |
network.tls.cipher |
As informações de criptografia são extraídas do registro bruto e mapeadas para esse campo. |
network.tls.curve |
network.tls.curve |
A curva de troca de chaves é extraída do registro bruto e mapeada para esse campo. |
pid |
principal.process.pid, target.process.pid |
O ID do processo (pid) é mapeado para principal.process.pid ou target.process.pid, dependendo do contexto. |
ppid |
principal.process.parent_process.pid, target.process.parent_process.pid |
O ID do processo pai (ppid) é mapeado para principal.process.parent_process.pid ou target.process.parent_process.pid, dependendo do contexto. |
principal.asset.hostname |
principal.asset.hostname |
Copiado de principal.hostname. |
principal.asset.ip |
principal.asset.ip |
Copiado de principal.ip. |
principal.platform |
principal.platform |
Definido pela lógica do analisador com base no sistema operacional (por exemplo, LINUX). |
principal.port |
principal.port |
O número da porta associado ao principal. |
principal.user.group_identifiers |
principal.user.group_identifiers |
IDs de grupo associados ao usuário principal. |
process.name |
target.process.file.full_path |
|
receiveTimestamp |
(Não mapeado) | Esse campo é o carimbo de data/hora de recebimento do registro e não é mapeado para o objeto IDM na UDM. |
res |
security_result.action_details |
O resultado (res) é mapeado para security_result.action_details. |
_Resource_Id |
target.resource.product_object_id |
|
resource.labels |
(Não mapeado) | Esses rótulos estão presentes em alguns registros brutos, mas não são mapeados para o objeto IDM na UDM. |
resource.type |
(Não mapeado) | Esse campo está presente em alguns registros brutos, mas não é mapeado para o objeto IDM na UDM. |
security_result.action |
security_result.action |
Definido pela lógica do analisador com base no campo res (por exemplo, ALLOW, BLOCK). |
security_result.detection_fields |
security_result.detection_fields |
Vários campos do registro bruto são adicionados como pares de chave-valor a essa matriz para contexto. |
security_result.rule_id |
security_result.rule_id |
Definido pela lógica do analisador, geralmente como type_name para eventos de syscall. |
security_result.severity |
security_result.severity |
Definido pela lógica do analisador com base no nível de gravidade no registro bruto. |
security_result.summary |
security_result.summary |
Um resumo do evento, geralmente derivado do campo msg ou de outros campos relevantes. |
ses |
network.session_id |
O ID da sessão (ses) é mapeado para network.session_id. |
source |
(Não mapeado) | Esse campo contém metadados sobre a origem do registro e não é mapeado para o objeto IDM na UDM. |
subj |
(Processado) | O campo de assunto (subj) é processado para extrair informações de contexto de segurança e do usuário. |
syscall |
security_result.about.labels.Syscall |
O número da syscall é adicionado como um rótulo em security_result.about. |
target.administrative_domain |
target.administrative_domain |
O domínio do usuário de destino. |
target.group.group_display_name |
target.group.group_display_name |
O nome do grupo de destino. |
target.ip |
target.ip |
O endereço IP do destino. |
target.port |
target.port |
O número da porta associado ao destino. |
target.process.command_line |
target.process.command_line |
A linha de comando do processo de destino. |
target.resource.type |
target.resource.type |
O tipo do recurso de destino, definido pela lógica do analisador (por exemplo, CREDENTIAL, SETTING). |
target.user.attribute.permissions |
target.user.attribute.permissions |
Permissões relacionadas ao usuário de destino. |
target.user.group_identifiers |
target.user.group_identifiers |
IDs de grupo associados ao usuário de destino. |
target.user.userid |
target.user.userid |
O ID do usuário do destino. |
TenantId |
metadata.product_deployment_id |
|
textPayload |
(Processado) | O payload de texto do registro, processado pelo analisador para extrair vários campos. |
timestamp |
metadata.event_timestamp |
O carimbo de data/hora do evento. |
tty |
security_result.about.labels.tty |
O tty é adicionado como um rótulo em security_result.about. |
type |
metadata.product_event_type |
O tipo de evento (type) é mapeado para metadata.product_event_type. |
uid |
target.user.userid |
O ID do usuário (uid) é mapeado para target.user.userid. |
Referência delta do mapeamento da UDM
Em 23 de setembro de 2025, o Google SecOps lançou uma nova versão do analisador do Okta, que inclui mudanças significativas no mapeamento de campos de registro do Okta para campos do UDM e no mapeamento de tipos de eventos.
Delta de mapeamento de campo de registro
A tabela a seguir lista o delta de mapeamento para campos de registro do Okta para UDM expostos antes de 23 de setembro de 2025 e depois (listados nas colunas Mapeamento antigo e Mapeamento atual, respectivamente).
| Campo de registro | Mapeamento antigo | Mapeamento atual | Exemplo de registro de referência |
|---|---|---|---|
1.1.1.1 (endereço IP) |
src.ip |
principal.ip |
"<163>10 de abril 09:00:05 hostname.com sshd[3318513]: Accepted password for abc from 1.1.1.1 port 33988 ssh2" |
1.1.1.1 (endereço IP) |
principal.ip |
target.ip |
"<29>5 de outubro, 08:37:16 abc ProxySG: E0000 Access Log HTTP (main): Connecting to server 1.1.1.1 on port 4433.(0) NORMAL_EVENT alog_stream_http.cpp 261" |
abc (usuário) |
principal.user.userid |
target.user.userid |
"<85>Feb 27 08:26:55 offozcav login: FAILED LOGIN 1 FROM ::ffff:1.1.1.1 FOR abc, Authentication failure\r\n\r\n" |
abc.abc (usuário) |
principal.user.userid |
target.user.userid |
"<86>27 de fevereiro, 08:29:19 offozcav login: LOGIN ON pts/43 BY abc.abc FROM\r\n\r\n::ffff:1.1.1.1" |
COMMAND |
principal.process.command_line |
target.process.command_line |
"<85>24 de setembro 14:33:59 abc sudo: abc : \r\nTTY=unknown ; PWD=/abc ; USER=abc ; COMMAND=/sbin/iptables -t nat -nL \r\n--line-number" |
exe |
target.process.file.full_path |
principal.process.file.full_path |
|
_ItemId |
additional.fields |
metadata.product_log_id |
|
metadata.product_event_type |
PATH |
SECCOMP |
|
process.name |
principal.process.file.full_path |
target.process.file.full_path |
|
_ResourceId |
additional.fields |
target.resource.product_object_id |
|
TenantId |
additional.fields |
metadata.product_deployment_id |
|
uid |
principal.user.userid |
target.user.userid |
|
USER |
principal.user.user_display_name |
target.user.userid |
"<85>24 de setembro 14:33:59 abc sudo: abc : \r\nTTY=unknown ; PWD=/abc ; USER=abc ; COMMAND=/sbin/iptables -t nat -nL \r\n--line-number" |
user |
principal.user.userid |
target.user.userid |
"29>Jan 16 11:28:00 san-auth-1-irl2 tac_plus[17329]: login failure: user 1.1.1.1 (1.1.1.1) vty0" |
user |
principal.user.userid |
target.user.userid |
"<87>15 de julho 10:27:01 xpgjrconfdb01 crond[1045]: pam_unix(crond:account): senha expirada para o usuário root (senha antiga)" |
Delta de mapeamento de tipo de evento
Vários eventos que antes eram classificados como genéricos agora são classificados corretamente com tipos de eventos significativos.
A tabela a seguir lista o delta para o processamento de tipos de eventos do Okta antes e depois de 23 de setembro de 2025 (listados nas colunas Old event_type e Current event-type, respectivamente).
| eventType do registro | Old event_type | event_type atual |
|---|---|---|
aix_event_type=CRON_Start |
USER_LOGIN |
PROCESS_LAUNCH |
CRYPTO_KEY_USER |
NETWORK_CONNECTION |
USER_LOGIN |
FILE_Mknod |
USER_LOGIN |
FILE_CREATION |
FILE_Rename |
USER_LOGIN |
FILE_MODIFICATION |
FILE_Stat |
USER_LOGIN |
FILE_OPEN |
FILE_Unlink |
USER_LOGIN |
FILE_DELETION |
FS_Chabc |
USER_LOGIN |
PROCESS_UNCATEGORIZED |
FS_Mkdir |
USER_LOGIN |
FILE_CREATION |
FS_Rmdir |
USER_LOGIN |
FILE_DELETION |
PROC_Execute |
USER_LOGIN |
PROCESS_LAUNCH |
type=ANOM_ABEND |
STATUS_UPDATE |
PROCESS_TERMINATION |
type=ANOM_PROMISCUOUS |
SETTING_MODIFICATION |
|
type=CRED_REFR |
USER_LOGIN |
USER_CHANGE_PERMISSIONS |
type=PROCTILE |
PROCESS_UNCATEGORIZED |
PROCESS_LAUNCH |
type=SERVICE_START |
USER_RESOURCE_ACCESS |
SERVICE_START |
type=SERVICE_STOP |
USER_RESOURCE_ACCESS |
SERVICE_STOP |
type=USER_ACCT |
USER_LOGIN/SETTING_MODIFICTION |
USER_LOGIN |
type=USER_MGMT |
SETTING_MODIFICATION/GROUP_MODIFICATION |
GROUP_MODIFICATION |
USER_ERR |
USER_LOGOUT |
USER_LOGIN |
Outras mudanças
- Removido o mapeamento duplicado de
resdesecurity_result.description. Ele é capturado emsecurity_result.action_details. - Remoção de
auditd_msg_datadesnecessários de campos adicionais. - Removemos
auditd_msg_datadesnecessários desecurity_result.summary. - Em
type=ADD_USER, removemos o mapeamento duplicado deacctparatarget.user.display_name. Ele já está mapeado emtarget.user.userid. - Remoção do mapeamento duplicado de
commdeprincipal.process.command_lineeprincipal.process.file.names. Ele é capturado emprincipal.application. - Removemos o mapeamento duplicado de
target.hostnamequando o valor está emprincipal. - Removido o mapeamento codificado desnecessário de
target.resource.typeparaSETTING. - Removido o mapeamento de rótulos "Sobre" porque ele foi descontinuado.
- Mapeamento corrigido: agora os IPs são roteados para
principal.ip, não paraprincipal.hostname. - Corrigimos a repetição de eventos gerados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.