OCSF スキーマ監査メッセージ
OCSFスキーマでは、記録されたログメッセージの構文は次のとおりです。
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
フィールド | タイプ | 説明 |
---|---|---|
activity_id | 整数 | アクティビティ タイプ。 OCSF 型マッピング を参照してください。 |
category_uid | 整数 | 監査イベントのカテゴリ。 「 OCSF カテゴリマッピング 」を参照してください。 |
class_uid | 整数 | 監査イベントクラス。 「 OCSF クラスマッピング 」を参照してください。 |
time | 整数 | イベントが発生した UNIXエポックからのミリ秒数。 |
severity_id | 整数 | 監査されイベントの重大度。 |
type_uid | 整数 | 監査するイベントのクラス、アクティビティ、およびカテゴリの組み合わせ。 「 OCSF 型マッピング 」を参照してください。 |
metadata | ドキュメント | 製品やスキーマのバージョンなど、イベントに関するメタデータ。 |
actor | ドキュメント | アクションを実行したユーザーに関する情報。 |
注意
ログ メッセージには、ログに記録されたイベントに応じて追加のフィールドが含まれる場合があります。
OCSF カテゴリ マッピング
以下の表では、 category_uid
の値について説明しています。
category_uid | カテゴリ |
---|---|
1 | システム活動 |
2 | 検索結果 |
3 | IAM |
4 | ネットワーク アクティビティ |
5 | 検出 |
6 | アプリケーション アクティビティ |
OCSF クラスマッピング
OCSFclass_uids
の完全なリストと、さまざまなクラスへのマッピング方法については、 OCSF ドキュメントを参照してください。
OCSF 型マッピング
type_uid
フィールドは、監査するイベントのクラス、アクティビティ、カテゴリの組み合わせを表します。 結果の UUID は、発生したアクティビティのタイプを示します。
具体的には、 type_uid
は( class_uid * 100 ) + (activity_id)
で、 category_id
はclass_id
内の 100 桁です。
次の表は、監査されたアクションがtype_uid
にどのようにマッピングされるかを示しています。
アクション タイプ | type_uid | カテゴリ | クラス | アクティビティ |
---|---|---|---|---|
addShard | 500101 | 構成 | デバイス構成の状態 | Log |
applicationMessage | 100799 | システム | プロセス アクティビティ | その他 |
auditConfigure | 500201 or 500203 | 検出 | デバイス構成の状態 |
|
authzCheck | 600301 - 600304 | アプリケーション | APIアクティビティ |
|
authenticate | 300201 | IAM | 認証 | ログオン |
clientMetadata | 400101 | ネットワーク | ネットワーク アクティビティ | を開く |
createCollection | 300401 | IAM | エンティティマネジメント | 作成 |
createDatabase | 300401 | IAM | エンティティマネジメント | 作成 |
createIndex | 300401 | IAM | エンティティマネジメント | 作成 |
createRole | 300101 | IAM | アカウントの変更 | 作成 |
createUser | 300101 | IAM | アカウントの変更 | 作成 |
directAuthMutation | 300100 | IAM | アカウントの変更 | 不明 |
dropAllRolesFromDatabase | 300106 | IAM | アカウントの変更 | 削除 |
dropAllUsersFromDatabase | 300106 | IAM | アカウントの変更 | 削除 |
dropCollection | 300404 | IAM | エンティティマネジメント | 削除 |
dropDatabase | 300404 | IAM | エンティティマネジメント | 削除 |
dropIndex | 300404 | IAM | エンティティマネジメント | 削除 |
dropPrivilegesToRole | 300107 | IAM | アカウントの変更 | ポリシーを付与 |
dropRole | 300106 | IAM | アカウントの変更 | 削除 |
dropUser | 300106 | IAM | アカウントの変更 | 削除 |
enableSharding | 500201 | 構成 | デバイス構成の状態 | Log |
getClusterParameter | 600302 | アプリケーション | APIアクティビティ | 読み取り |
grantRolesToRole | 300107 | IAM | アカウントの変更 | ポリシーを付与 |
grantRolesToUser | 300107 | IAM | アカウントの変更 | ポリシーを付与 |
importCollection | 300401 | IAM | エンティティマネジメント | 作成 |
logout | 300202 | IAM | 認証 | ログオフ |
refineCollectionShardKey | 500201 | 構成 | デバイス構成の状態 | Log |
removeShard | 500201 | 構成 | デバイス構成の状態 | Log |
renameCollection | 300403 | IAM | エンティティマネジメント | Update |
replSetReconfig | 500201 | 構成 | デバイス構成の状態 | Log |
revokePrivilegesFromRole | 300108 | IAM | アカウントの変更 | 削除ポリシー |
revokeRolesFromRole | 300108 | IAM | アカウントの変更 | 削除ポリシー |
revokeRolesFromUser | 300108 | IAM | アカウントの変更 | 削除ポリシー |
rotateLog | 100799 | システム | プロセス | その他 |
setClusterParameter | 500201 | 構成 | デバイス構成の状態 | Log |
shardCollection | 500201 | 構成 | デバイス構成の状態 | Log |
shutdown | 100702 | システム | プロセス | 終了 |
startup | 100701 | システム | プロセス | Launch |
updateCachedClusterServerParameter | 500201 | 構成 | デバイス構成の状態 | Log |
updateRole | 300199 | IAM | アカウントの変更 | その他 |
updateUser | 300199 | IAM | アカウントの変更 | その他 |
例
以下の例は、さまざまなアクションタイプのOCSFスキーマログメッセージを示しています。
認証アクション
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
AuthCheck アクション
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }