Auditd 로그

auditd 로그를 HTTPS를 통해 Panther로 직접 스트리밍하세요

개요

Panther는 다음을 수집하는 것을 지원합니다 auditd Linux Audit Daemon에서 생성된 로그를, 스트리밍하여 HTTP 소스로 전달된 후에, Fluent Bit.

auditd 감사 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 새 auditd 로그 소스 생성

Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"Auditd"를 검색한 후 해당 타일을 클릭하세요.
- 슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 HTTP 옵션.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
Panther의 HTTP 소스 구성에 대한 지침을 따르세요5단계부터 시작하여.
- 설정할 때 인증 방법 소스에 대해, 우리는 공유 비밀(Shared Secret).
- 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.
- HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Fluent Bit 구성

다음을 따르세요 Fluent Bit 시작 안내 Fluent Bit를 서비스로 설치하려면.
생성하세요 Fluent Bit 구성 파일.
- [INPUT] 변수:
  - 이름: 이를 로 설정하세요 tail 와
  - 경로: 로그 파일 경로로 이것을 설정하세요.
- [OUTPUT] 변수:
  - 호스트: Panther URL을 입력하세요.
    예: logs.instance-name.runpanther.net
  - URI: HTTP Source 수집 URL의 끝부분(이 프로세스의 1단계에서 생성된)을 입력하세요. 이것은로 시작합니다 /http/.
    예: /http/cb015ee4-543c-4489-9f4b-testaa16d7a
  - 헤더: Panther 콘솔에서 1단계에서 HTTP 소스를 구성할 때 생성한 헤더 이름과 생성한 시크릿을 입력하세요.
  - 이름: 다음으로 설정 http.
  - TLS: 다음으로 설정 켜기.
  - 포트: 다음으로 설정 443.
```
[SERVICE]
    Flush      1

[INPUT]
    Name       tail
    Path       /var/log/audit/audit.log

[OUTPUT]
    Name       http
    Match      *
    Host       logs.instance-name.runpanther.net
    Port       443
    URI        /http/cb015ee4-543c-4489-9f4b-testaa16d7a
    Header     x-sender-header {YOUR_SECRET_HERE}
    Format     json_lines
    TLS        On
    TLS.Verify On
```
Fluent Bit을 시작하고 새 구성 파일의 경로를 전달하세요.

지원되는 로그 유형

Linux.Auditd

다음은 Linux 감사 로그 스키마를 정의합니다:

schema: Linux.Auditd
description: Linux 감사 로그
referenceURL: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_files
필드:
  - 이름: type
    required: true
    description: 감사 레코드 유형. 전체 목록은 https://access.redhat.com/articles/4409591#audit-record-types-2 를 참조하세요
    type: string
  - name: a0
    description: 시스템 호출의 첫 번째 인수를 16진 표기법으로 기록합니다.
    type: string
  - name: a1
    description: 시스템 호출의 두 번째 인수를 16진 표기법으로 기록합니다.
    type: string
  - name: a2
    description: 시스템 호출의 세 번째 인수를 16진 표기법으로 기록합니다.
    type: string
  - name: a3
    description: 시스템 호출의 네 번째 인수를 16진 표기법으로 기록합니다.
    type: string
  - name: acct
    description: 프로세스가 실행된 사용자 계정 이름을 기록합니다.
    type: string
  - 이름: action
    description: 무결성 정책 룰에서 발생하는 동작을 기록합니다.
    type: string
  - name: appraise_type
    description: 무결성 정책 룰에서 사용된 평가 유형을 기록합니다.
    type: string
  - name: addr
    description: IPv4 또는 IPv6 주소를 기록합니다. 이 필드는 일반적으로 호스트명 필드 다음에 오며 해당 호스트명이 해석되는 주소를 포함합니다.
    type: string
    지표:
      - ip
  - name: arch
    description: 시스템의 CPU 아키텍처에 대한 정보를 16진 표기법으로 기록합니다.
    type: string
  - name: calipso_doi
    description: RFC5570 Calipso 항목의 DOI를 기록합니다.
    type: string
  - name: calipso_type
    description: RFC5570 Calipso 항목의 유형을 기록합니다.
    type: string
  - name: capability
    description: 특정 Linux 권한을 설정하는 데 사용된 비트 수를 기록합니다. Linux 권한에 대한 자세한 내용은 capabilities(7) 매뉴얼 페이지를 참조하세요.
    type: string
  - name: cap_fe
    description: 유효한 파일 시스템 기반 권한 비트 설정과 관련된 데이터를 기록합니다.
    type: string
  - name: cap_fi
    description: 상속된 파일 시스템 기반 권한 설정과 관련된 데이터를 기록합니다.
    type: string
  - name: cap_fp
    description: 허용된 파일 시스템 기반 권한 설정과 관련된 데이터를 기록합니다.
    type: string
  - name: cap_fver
    description: 파일 시스템 기반 권한의 버전을 기록합니다.
    type: string
  - name: cap_pe
    description: 유효한 프로세스 기반 권한 설정과 관련된 데이터를 기록합니다.
    type: string
  - name: cap_pi
    description: 상속된 프로세스 기반 권한 설정과 관련된 데이터를 기록합니다.
    type: string
  - name: cap_pp
    description: 허용된 프로세스 기반 권한 설정과 관련된 데이터를 기록합니다.
    type: string
  - name: cause
    description: 무결성 정책 룰에서 원인을 기록합니다.
    type: string
  - name: cgroup
    description: 감사 이벤트가 생성될 당시 프로세스를 포함하고 있던 cgroup의 경로를 기록합니다.
    type: string
  - name: cmd
    description: 실행된 전체 명령줄을 기록합니다. 이는 exe 필드가 /bin/bash와 같은 셸 인터프리터를 기록하고 cmd 필드가 실행된 나머지 명령줄(예: helloworld.sh --help)을 기록하는 셸 인터프리터의 경우에 유용합니다.
    type: string
  - 이름: code
    description: seccomp 동작을 기록합니다.
    type: string
  - name: comm
    description: 실행된 명령을 기록합니다. 이는 exe 필드가 /bin/bash와 같은 셸 인터프리터를 기록하고 comm 필드가 실행된 스크립트의 이름(예: helloworld.sh)을 기록하는 경우에 유용합니다.
    type: string
  - name: compat
    description: seccomp 동작에서의 시스템 호출 호환성 모드를 기록합니다.
    type: string
  - name: cwd
    description: 시스템 호출이 호출된 디렉터리의 경로를 기록합니다.
    type: string
  - name: data
    description: TTY 레코드와 관련된 데이터를 기록합니다.
    type: string
  - name: dev
    description: 이벤트에 기록된 파일 또는 디렉터리를 포함하는 장치의 마이너 및 메이저 ID를 기록합니다.
    type: string
  - name: devmajor
    description: 메이저 장치 ID를 기록합니다.
    type: string
  - name: devminor
    description: 마이너 장치 ID를 기록합니다.
    type: string
  - name: exe
    description: 분석된 프로세스를 호출하는 데 사용된 실행 파일의 경로를 기록합니다.
    type: string
  - name: exit
    description: '시스템 호출이 반환한 종료 코드를 기록합니다. 이 값은 시스템 호출에 따라 달라집니다. 다음 명령으로 값을 사람이 읽을 수 있는 형태로 해석할 수 있습니다: ausearch --interpret --exit exit_code'
    type: string
  - name: family
    description: 사용된 주소 프로토콜의 유형(IPv4 또는 IPv6)을 기록합니다.
    type: string
  - name: feature
    description: 설정되거나 해제되는 감사 기능을 기록합니다.
    type: string
  - 이름: file
    description: 무결성 측정에 관련된 파일을 기록합니다.
    type: string
  설명: 파일명
    description: 파일의 유형을 기록합니다.
    type: string
  - name: flags
    description: 파일 시스템 이름 플래그를 기록합니다.
    type: string
  - name: fowner
    description: 무결성 정책 룰에서 사용된 파일 소유자를 기록합니다.
    type: string
  - name: fsgid
    description: 분석된 프로세스를 시작한 사용자의 파일 시스템 그룹 ID를 기록합니다.
    type: string
  - name: fsmagic
    description: 무결성 정책 룰에서 사용된 파일시스템 매직을 기록합니다.
    type: string
  - name: fsuuid
    description: 무결성 정책 룰에서 사용된 fsuuid를 기록합니다.
    type: string
  - name: fsuid
    description: 분석된 프로세스를 시작한 사용자의 파일 시스템 사용자 ID를 기록합니다.
    type: string
  - name: func
    description: 무결성 정책 룰에 관련된 함수를 기록합니다.
    type: string
  - name: hash
    description: 무결성 측정에 관련된 파일의 해시를 기록합니다.
    type: string
  - 이름: hostname
    description: 호스트 이름을 기록합니다.
    type: string
    지표:
      - hostname
  - name: icmptype
    description: 수신된 인터넷 제어 메시지 프로토콜(ICMP) 패킷의 유형을 기록합니다. 이 필드를 포함하는 감사 메시지는 일반적으로 iptables에 의해 생성됩니다.
    type: string
  - 이름: id
    description: 변경된 계정의 사용자 ID를 기록합니다.
    type: string
  - name: inode
    description: 감사 이벤트에 기록된 파일 또는 디렉터리와 연관된 inode 번호를 기록합니다.
    type: string
  - name: inode_gid
    description: inode 소유자의 그룹 ID를 기록합니다.
    type: string
  - name: inode_uid
    description: inode 소유자의 사용자 ID를 기록합니다.
    type: string
  - 이름: ip
    description: seccomp 동작에서의 명령어 포인터를 기록합니다.
    type: string
    지표:
      - ip
  - name: items
    description: 이 레코드에 첨부된 경로 레코드 수를 기록합니다.
    type: string
  - 이름: key
    description: 특정 이벤트를 생성한 룰과 연관된 사용자 정의 문자열을 기록합니다.
    type: string
  - name: list
    description: '감사 룰 리스트 ID를 기록합니다. 알려진 ID 목록은 다음과 같습니다: 0 — user, 1 — task, 4 — exit, 5 — exclude'
    type: string
  - name: mode
    description: 파일 또는 디렉터리 권한을 숫자 표기법으로 기록합니다.
    type: string
  - name: msgtype
    description: 사용자 기반 AVC 거부 시 반환되는 메시지 유형을 기록합니다. 메시지 유형은 D-Bus에 의해 결정됩니다.
    type: string
  - 이름: name
    description: 시스템 호출에 인수로 전달된 파일 또는 디렉터리의 전체 경로를 기록합니다.
    type: string
  - name: new-disk
    description: 가상 머신에 할당된 새 디스크 리소스의 이름을 기록합니다.
    type: string
  - name: new-mem
    description: 가상 머신에 할당된 새 메모리 리소스의 양을 기록합니다.
    type: string
  - name: new-vcpu
    description: 가상 머신에 할당된 새 가상 CPU 리소스의 수를 기록합니다.
    type: string
  - name: new-net
    description: 가상 머신에 할당된 새 네트워크 인터페이스 리소스의 MAC 주소를 기록합니다.
    type: string
  - name: new_gid
    description: 사용자에게 할당된 그룹 ID를 기록합니다.
    type: string
  - name: new_lock
    description: 감사 기능에 설정된 잠금의 새 값을 기록합니다.
    type: string
  - name: nsec
    description: 시스템 시계가 이동된 나노초 수를 기록합니다.
    type: string
  - name: ocomm
    description: 대상 프로세스를 시작하는 데 사용된 명령을 기록합니다. 이 필드는 OBJ_PID 유형의 레코드에만 해당합니다.
    type: string
  - name: old_lock
    description: 감사 기능에 설정된 잠금의 이전 값을 기록합니다.
    type: string
  - name: oses
    description: 대상 프로세스의 세션 ID를 기록합니다. 이 필드는 OBJ_PID 유형의 레코드에만 해당합니다.
    type: string
  - name: obj
    description: 객체의 SELinux 컨텍스트를 기록합니다. 객체는 파일, 디렉터리, 소켓 또는 주체의 동작을 받는 모든 것이 될 수 있습니다.
    type: string
  - name: objtype
    description: 시스템 호출 맥락에서 PATH 레코드 객체의 의도를 기록합니다.
    type: string
  - name: obj_gid
    description: 객체의 그룹 ID를 기록합니다.
    type: string
  - name: obj_lev_high
    description: 객체의 높은 SELinux 레벨을 기록합니다.
    type: string
  - name: obj_lev_low
    description: 객체의 낮은 SELinux 레벨을 기록합니다.
    type: string
  - name: obj_role
    description: 객체의 SELinux 역할을 기록합니다.
    type: string
  - name: obj_type
    description: 객체의 유형을 기록합니다.
    type: string
  - name: obj_uid
    description: 객체의 UID를 기록합니다
    type: string
  - name: obj_user
    description: 객체와 연관된 사용자를 기록합니다.
    type: string
  - name: old-disk
    description: 새 디스크 리소스가 가상 머신에 할당될 때 이전 디스크 리소스의 이름을 기록합니다.
    type: string
  - name: old-mem
    description: 새 메모리 양이 가상 머신에 할당될 때 이전 메모리 리소스의 양을 기록합니다.
    type: string
  - name: old-vcpu
    description: 새 가상 CPU가 가상 머신에 할당될 때 이전 가상 CPU 리소스의 수를 기록합니다.
    type: string
  - name: old-net
    description: 새 네트워크 인터페이스가 가상 머신에 할당될 때 이전 네트워크 인터페이스 리소스의 MAC 주소를 기록합니다.
    type: string
  - name: old_prom
    description: 네트워크 프로미스큐이티 플래그의 이전 값을 기록합니다.
    type: string
  - name: path
    description: AVC 관련 감사 이벤트의 경우 시스템 호출 인수로 전달된 파일 또는 디렉터리의 전체 경로를 기록합니다
    type: string
  - name: perm
    description: 이벤트를 생성하는 데 사용된 파일 권한(즉 읽기, 쓰기, 실행 또는 속성 변경)을 기록합니다
    type: string
  - name: ppid
    description: 부모 프로세스 ID(PPID)를 기록합니다.
    type: string
  - name: proctitle
    description: 분석된 프로세스를 호출하는 데 사용된 명령의 전체 명령줄을 기록합니다. 이 필드는 Audit 로그 파서에 사용자가 영향을 미치지 못하도록 16진 표기법으로 인코딩됩니다. 텍스트는 이 감사 이벤트를 트리거한 명령으로 디코딩됩니다. ausearch 명령으로 감사 레코드를 검색할 때 -i 또는 --interpret 옵션을 사용하여 16진 값을 자동으로 사람이 읽을 수 있는 형태로 변환하세요.
    type: string
  - name: prom
    description: 네트워크 프로미스큐이티 플래그를 기록합니다.
    type: string
  - name: proto
    description: 사용된 네트워킹 프로토콜을 기록합니다. 이 필드는 iptables에 의해 생성된 감사 이벤트에만 해당합니다.
    type: string
  - name: res
    description: 감사 이벤트를 트리거한 작업의 결과를 기록합니다.
    type: string
  - name: resp
    description: fanotify 접근 제어 결정의 응답을 기록합니다.
    type: string
  - 이름: result
    description: 감사 이벤트를 트리거한 작업의 결과를 기록합니다.
    type: string
  - name: saddr
    description: 소켓 주소를 기록합니다.
    type: string
  - name: sec
    description: 시스템 시계가 이동된 초 수를 기록합니다.
    type: string
  - name: ses
    description: 분석된 프로세스가 호출된 세션의 세션 ID를 기록합니다.
    type: string
  - name: sig
    description: 프로그램을 비정상적으로 종료시키는 신호 번호를 기록합니다. 일반적으로 이는 시스템 침입의 징후입니다.
    type: string
  - name: subj
    description: 주체의 SELinux 컨텍스트를 기록합니다. 주체는 프로세스, 사용자 또는 객체에 대해 동작하는 모든 것이 될 수 있습니다.
    type: string
  - name: subj_clr
    description: 주체의 SELinux 결재(clearance)를 기록합니다.
    type: string
  - name: subj_role
    description: 주체의 SELinux 역할을 기록합니다.
    type: string
  - name: subj_sen
    description: 주체의 SELinux 민감도(sensitivity)를 기록합니다.
    type: string
  - name: subj_type
    description: 주체의 유형을 기록합니다.
    type: string
  - name: subj_user
    description: 주체와 연관된 사용자를 기록합니다.
    type: string
  - name: success
    description: 시스템 호출이 성공했는지 실패했는지를 기록합니다.
    type: string
  - name: syscall
    description: 커널에 전송된 시스템 호출 유형을 기록합니다.
    type: string
  - name: terminal
    description: 터미널 이름(/dev/ 없이)을 기록합니다.
    type: string
  - name: tty
    description: 제어 터미널의 이름을 기록합니다. 프로세스에 제어 터미널이 없으면 값은 (none)으로 사용됩니다.
    type: string
  - name: vm
    description: 감사 이벤트가 발생한 가상 머신의 이름을 기록합니다.
    type: string
  - name: xattr
    description: EVM에 의해 수정되고 보호되는 확장 속성 집합을 기록합니다.
    type: string
  - name: pid
    description: pid 필드의 의미는 이 필드의 값 출처에 따라 달라집니다. 사용자 공간에서 생성된 필드에서는 이 필드가 프로세스 ID를 가집니다. 커널에서 생성된 필드에서는 이 필드가 스레드 ID를 가집니다. 스레드 ID는 단일 스레드 프로세스의 경우 프로세스 ID와 같습니다. 이 스레드 ID 값은 사용자 공간에서 사용되는 pthread_t ID 값과 다릅니다. 자세한 내용은 gettid(2) 매뉴얼 페이지를 참조하세요.
    type: string
  - name: sauid
    description: 송신자 감사 로그인 사용자 ID를 기록합니다. 이 ID는 커널이 원래 auid를 전송하는 사용자를 볼 수 없기 때문에 D-Bus에서 제공합니다.
    type: string
  - name: sgid
    description: 분석된 프로세스를 시작한 사용자의 설정 그룹 ID(set group ID)를 기록합니다.
    type: string
  - name: oauid
    description: 시스템에 로그인하여(예: su 사용과 반대되는) 대상 프로세스를 시작한 사용자의 사용자 ID를 기록합니다. 이 필드는 OBJ_PID 유형의 레코드에만 해당합니다.
    type: string
  - name: opid
    description: 대상 프로세스의 프로세스 ID를 기록합니다. 이 필드는 OBJ_PID 유형의 레코드에만 해당합니다.
    type: string
  - name: ouid
    description: 대상 프로세스의 실제 사용자 ID를 기록합니다
    type: string
  - name: ogid
    description: 객체 소유자의 그룹 ID를 기록합니다.
    type: string
  - 이름: uid
    description: 분석된 프로세스를 시작한 사용자의 실제 사용자 ID를 기록합니다.
    type: string
    지표:
      - actor_id
  - name: suid
    description: 분석된 프로세스를 시작한 사용자의 설정 사용자 ID(set user ID)를 기록합니다.
    type: string
  - name: egid
    description: 분석된 프로세스를 시작한 사용자의 유효 그룹 ID를 기록합니다.
    type: string
  - name: auid
    description: 감사 사용자 ID를 기록합니다. 이 ID는 로그인 시 사용자에게 할당되며 사용자의 신원이 변경되더라도(예: su -john으로 사용자 계정을 전환할 때) 모든 프로세스가 상속합니다.
    type: string
  - name: euid
    description: 분석된 프로세스를 시작한 사용자의 유효 사용자 ID를 기록합니다.
    type: string
  - name: gid
    description: 그룹 ID를 기록합니다.
    type: string
  - name: extra_message_fields
    description: Panther가 정의한 필드입니다. auditd 로그의 msg 필드는 임의의 키-값 쌍을 포함할 수 있으며 이를 맵으로 구조화합니다
    유형: json
  - 이름: timestamp
    required: true
    description: 감사 이벤트가 발생한 시점
    type: timestamp
    timeFormats:
      - unix
    isEventTime: true
  - 이름: eventId
    description: 감사 이벤트의 ID. 동일한 감사 이벤트의 일부로 생성된 경우 여러 레코드가 동일한 타임스탬프와 ID를 공유할 수 있다는 점에 유의하세요
    type: string

이전Atlassian 로그 다음Auth0 로그

마지막 업데이트 1년 전

도움이 되었나요?

hashtag개요

hashtagauditd 감사 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 새 auditd 로그 소스 생성

hashtag2단계: Fluent Bit 구성

hashtag지원되는 로그 유형

hashtagLinux.Auditd

개요

auditd 감사 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 새 auditd 로그 소스 생성

2단계: Fluent Bit 구성

지원되는 로그 유형

Linux.Auditd