Docs Menu
Docs Home
/
MongoDB 매뉴얼
/ / / /

OCSF 스키마 감사 메시지

이 페이지의 내용

  • OCSF 카테고리 매핑
  • OCSF 클래스 매핑
  • OCSF 유형 매핑
  • 예시
  • 인증 조치
  • AuthCheck 작업

OCSF 스키마 에서 기록된 로그 메시지의 구문은 다음과 같습니다.

{
"activity_id" : <int>,
"category_uid" : <int>,
"class_uid" : <int>,
"time" : <int>,
"severity_id" : <int>,
"type_uid" : <int>,
"metadata" : <document>
"actor" : {
"user" : {
"type_id" : <int>,
"name" : <string>,
"groups" : <array of documents>
}
}
}
필드
유형
설명

activity_id

Integer

활동 유형입니다. OCSF 유형 매핑을 참조하세요.

category_uid

Integer

감사 이벤트 카테고리입니다.OCSF 카테고리 매핑을 참조하세요.

class_uid

Integer

time

Integer

이벤트 가 발생한 유닉스 시간 이후의 밀리초 수입니다.

severity_id

Integer

감사된 이벤트 의 심각도입니다.

type_uid

Integer

감사된 이벤트의 클래스, 활동 및 카테고리의 조합입니다. OCSF 유형 매핑을 참조하세요.

metadata

문서

제품 및 스키마 버전과 같은 이벤트 에 대한 메타데이터입니다.

actor

문서

조치 을 수행한 사용자에 대한 정보입니다.

참고

로그 메시지에는 기록된 이벤트 에 따라 추가 필드가 포함될 수 있습니다.

이 표에서는 category_uid 값에 대해 설명합니다.

category_uid
카테고리

1

시스템 활동

2

결과

3

IAM

4

네트워크 활동

5

Discovery

6

애플리케이션 활동

OCSF 의 class_uids 전체 목록과 다양한 클래스에 매핑하는 방법은 OCSF 설명서를 참조하세요.

type_uid 필드 는 감사된 이벤트의 클래스, 활동 및 카테고리의 조합을 나타냅니다. 결과 UUID는 발생한 활동 유형을 나타냅니다.

구체적으로, type_uid( class_uid * 100 ) + (activity_id) 이며, category_idclass_id 의 천 단위 자리입니다.

이 표에서는 감사된 작업이 type_uid 에 매핑되는 방법을 설명합니다.

작업 유형
type_uid
카테고리
클래스
활동

addShard

500101

구성

장치 구성 상태

Log

applicationMessage

100799

시스템

프로세스 활동

기타

auditConfigure

500201 or 500203

Discovery

장치 구성 상태

  • 1 is Create

  • 3 is Update

authzCheck

600301 - 600304

애플리케이션

API 활동

  • 1 is Create

  • 2 is Read

  • 3 is Update

  • 4 삭제입니다.

authenticate

300201

IAM

인증

로그온

clientMetadata

400101

네트워크

네트워크 활동

열기

createCollection

300401

IAM

엔티티 관리

만들기

createDatabase

300401

IAM

엔티티 관리

만들기

createIndex

300401

IAM

엔티티 관리

만들기

createRole

300101

IAM

계정 변경

만들기

createUser

300101

IAM

계정 변경

만들기

directAuthMutation

300100

IAM

계정 변경

알 수 없음

dropAllRolesFromDatabase

300106

IAM

계정 변경

삭제

dropAllUsersFromDatabase

300106

IAM

계정 변경

삭제

dropCollection

300404

IAM

엔티티 관리

삭제

dropDatabase

300404

IAM

엔티티 관리

삭제

dropIndex

300404

IAM

엔티티 관리

삭제

dropPrivilegesToRole

300107

IAM

계정 변경

정책 첨부

dropRole

300106

IAM

계정 변경

삭제

dropUser

300106

IAM

계정 변경

삭제

enableSharding

500201

구성

장치 구성 상태

Log

getClusterParameter

600302

애플리케이션

API 활동

읽기

grantRolesToRole

300107

IAM

계정 변경

정책 첨부

grantRolesToUser

300107

IAM

계정 변경

정책 첨부

importCollection

300401

IAM

엔티티 관리

만들기

logout

300202

IAM

인증

로그오프

refineCollectionShardKey

500201

구성

장치 구성 상태

Log

removeShard

500201

구성

장치 구성 상태

Log

renameCollection

300403

IAM

엔티티 관리

Update

replSetReconfig

500201

구성

장치 구성 상태

Log

revokePrivilegesFromRole

300108

IAM

계정 변경

분리 정책

revokeRolesFromRole

300108

IAM

계정 변경

분리 정책

revokeRolesFromUser

300108

IAM

계정 변경

분리 정책

rotateLog

100799

시스템

프로세스

기타

setClusterParameter

500201

구성

장치 구성 상태

Log

shardCollection

500201

구성

장치 구성 상태

Log

shutdown

100702

시스템

프로세스

종료

startup

100701

시스템

프로세스

Launch

updateCachedClusterServerParameter

500201

구성

장치 구성 상태

Log

updateRole

300199

IAM

계정 변경

기타

updateUser

300199

IAM

계정 변경

기타

다음 예는 다양한 조치 유형에 대한 OCSF 스키마 로그 메시지를 보여줍니다.

{
"activity_id" : 1,
"category_uid" : 3,
"class_uid" : 3002,
"time" : 1710715316123,
"severity_id" : 1,
"type_uid" : 300201,
"metadata" : {
"correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122",
"product" : "MongoDB Server",
"version" : "1.0.0"
},
"actor" : {
"user" : {
"type_id" : 1,
"name" : "admin.admin",
"groups" : [ { "name" : "admin.root" } ]
}
},
"src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 },
"dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
"user" : { "type_id" : 1, "name" : "admin.admin" },
"auth_protocol" : "SCRAM-SHA-256",
"unmapped" : { "atype" : "authenticate" }
}
{
"activity_id" : 0,
"category_uid" : 6,
"class_uid" : 6003,
"time" : 1710715315002,
"severity_id" : 1,
"type_uid" : 600300,
"metadata" : {
"correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d",
"product" : "MongoDB Server",
"version" : "1.0.0"
},
"actor" : {},
"src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 },
"dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
"api" : {
"operation" : "getParameter",
"request" : { "uid" : "admin" },
"response" : { "code" : 13, "error" : "Unauthorized" }
}
}

돌아가기

mongo 스키마