Docs Menu
Docs Home
/
MongoDBマニュアル
/ / / /

OCSF スキーマ監査メッセージ

項目一覧

  • OCSF カテゴリ マッピング
  • OCSF クラスマッピング
  • OCSF 型マッピング
  • 認証アクション
  • AuthCheck アクション

OCSFスキーマでは、記録されたログメッセージの構文は次のとおりです。

{
"activity_id" : <int>,
"category_uid" : <int>,
"class_uid" : <int>,
"time" : <int>,
"severity_id" : <int>,
"type_uid" : <int>,
"metadata" : <document>
"actor" : {
"user" : {
"type_id" : <int>,
"name" : <string>,
"groups" : <array of documents>
}
}
}
フィールド
タイプ
説明
activity_id
整数
アクティビティ タイプ。 OCSF 型マッピング を参照してください。
category_uid
整数
class_uid
整数
time
整数
イベントが発生した UNIXエポックからのミリ秒数。
severity_id
整数
監査されイベントの重大度。
type_uid
整数
監査するイベントのクラス、アクティビティ、およびカテゴリの組み合わせ。 「 OCSF 型マッピング 」を参照してください。
metadata
ドキュメント
製品やスキーマのバージョンなど、イベントに関するメタデータ。
actor
ドキュメント
アクションを実行したユーザーに関する情報。

注意

ログ メッセージには、ログに記録されたイベントに応じて追加のフィールドが含まれる場合があります。

以下の表では、 category_uidの値について説明しています。

category_uid
カテゴリ
1
システム活動
2
検索結果
3
IAM
4
ネットワーク アクティビティ
5
検出
6
アプリケーション アクティビティ

OCSFclass_uids の完全なリストと、さまざまなクラスへのマッピング方法については、 OCSF ドキュメントを参照してください。

type_uidフィールドは、監査するイベントのクラス、アクティビティ、カテゴリの組み合わせを表します。 結果の UUID は、発生したアクティビティのタイプを示します。

具体的には、 type_uid( class_uid * 100 ) + (activity_id)で、 category_idclass_id内の 100 桁です。

次の表は、監査されたアクションがtype_uidにどのようにマッピングされるかを示しています。

アクション タイプ
type_uid
カテゴリ
クラス
アクティビティ
addShard
500101
構成
デバイス構成の状態
Log
applicationMessage
100799
システム
プロセス アクティビティ
その他
auditConfigure
500201 or 500203
検出
デバイス構成の状態
  • 1 が作成

  • 3 が 更新

authzCheck
600301 - 600304
アプリケーション
APIアクティビティ
  • 1 が作成

  • 2 は 読み取り

  • 3 が 更新

  • 4 は 削除

authenticate
300201
IAM
認証
ログオン
clientMetadata
400101
ネットワーク
ネットワーク アクティビティ
を開く
createCollection
300401
IAM
エンティティマネジメント
作成
createDatabase
300401
IAM
エンティティマネジメント
作成
createIndex
300401
IAM
エンティティマネジメント
作成
createRole
300101
IAM
アカウントの変更
作成
createUser
300101
IAM
アカウントの変更
作成
directAuthMutation
300100
IAM
アカウントの変更
不明
dropAllRolesFromDatabase
300106
IAM
アカウントの変更
削除
dropAllUsersFromDatabase
300106
IAM
アカウントの変更
削除
dropCollection
300404
IAM
エンティティマネジメント
削除
dropDatabase
300404
IAM
エンティティマネジメント
削除
dropIndex
300404
IAM
エンティティマネジメント
削除
dropPrivilegesToRole
300107
IAM
アカウントの変更
ポリシーを付与
dropRole
300106
IAM
アカウントの変更
削除
dropUser
300106
IAM
アカウントの変更
削除
enableSharding
500201
構成
デバイス構成の状態
Log
getClusterParameter
600302
アプリケーション
APIアクティビティ
読み取り
grantRolesToRole
300107
IAM
アカウントの変更
ポリシーを付与
grantRolesToUser
300107
IAM
アカウントの変更
ポリシーを付与
importCollection
300401
IAM
エンティティマネジメント
作成
logout
300202
IAM
認証
ログオフ
refineCollectionShardKey
500201
構成
デバイス構成の状態
Log
removeShard
500201
構成
デバイス構成の状態
Log
renameCollection
300403
IAM
エンティティマネジメント
Update
replSetReconfig
500201
構成
デバイス構成の状態
Log
revokePrivilegesFromRole
300108
IAM
アカウントの変更
削除ポリシー
revokeRolesFromRole
300108
IAM
アカウントの変更
削除ポリシー
revokeRolesFromUser
300108
IAM
アカウントの変更
削除ポリシー
rotateLog
100799
システム
プロセス
その他
setClusterParameter
500201
構成
デバイス構成の状態
Log
shardCollection
500201
構成
デバイス構成の状態
Log
shutdown
100702
システム
プロセス
終了
startup
100701
システム
プロセス
Launch
updateCachedClusterServerParameter
500201
構成
デバイス構成の状態
Log
updateRole
300199
IAM
アカウントの変更
その他
updateUser
300199
IAM
アカウントの変更
その他

以下の例は、さまざまなアクションタイプのOCSFスキーマログメッセージを示しています。

{
"activity_id" : 1,
"category_uid" : 3,
"class_uid" : 3002,
"time" : 1710715316123,
"severity_id" : 1,
"type_uid" : 300201,
"metadata" : {
"correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122",
"product" : "MongoDB Server",
"version" : "1.0.0"
},
"actor" : {
"user" : {
"type_id" : 1,
"name" : "admin.admin",
"groups" : [ { "name" : "admin.root" } ]
}
},
"src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 },
"dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
"user" : { "type_id" : 1, "name" : "admin.admin" },
"auth_protocol" : "SCRAM-SHA-256",
"unmapped" : { "atype" : "authenticate" }
}
{
"activity_id" : 0,
"category_uid" : 6,
"class_uid" : 6003,
"time" : 1710715315002,
"severity_id" : 1,
"type_uid" : 600300,
"metadata" : {
"correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d",
"product" : "MongoDB Server",
"version" : "1.0.0"
},
"actor" : {},
"src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 },
"dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
"api" : {
"operation" : "getParameter",
"request" : { "uid" : "admin" },
"response" : { "code" : 13, "error" : "Unauthorized" }
}
}

戻る

mongo スキーマ