OCSF 模式审核消息
在 OCSF模式中,记录的日志消息采用以下语法:
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
字段 | 类型 | 说明 |
---|---|---|
activity_id | 整型 | 活动类型。请参阅 OCSF 类型映射。 |
category_uid | 整型 | 审核事件类别。请参阅OCSF 类别映射。 |
class_uid | 整型 | 审核事件类。请参阅OCSF 类映射。 |
time | 整型 | 事件发生的 Unix 纪元之后的毫秒数。 |
severity_id | 整型 | 已审核事件的严重性。 |
type_uid | 整型 | 已审核事件的类、活动和类别的组合。请参阅OCSF 类型映射。 |
metadata | 文档 | 有关事件的元数据,例如产品和模式版本。 |
actor | 文档 | 有关执行动作的用户的信息。 |
注意
日志消息可能包含其他字段,具体取决于记录的事件。
OCSF 类别映射
下表描述了category_uid
值:
category_uid | category |
---|---|
1 | 系统活动 |
2 | 调查结果 |
3 | IAM |
4 | 网络活动 |
5 | 发现 |
6 | 应用程序活动 |
OCSF 类映射
有关 OCSF 的完整列表以及它们如何映射到不同的类,请参阅 OCSFclass_uids
文档。
OCSF 类型映射
type_uid
字段表示已审核事件的类、活动和类别的组合。生成的 UUID 指示发生的活动类型。
具体来说, type_uid
是( class_uid * 100 ) + (activity_id)
,其中category_id
是class_id
中的千位。
下表描述了已审核的操作如何映射到type_uid
:
操作类型 | type_uid | category | 类 | 活动 |
---|---|---|---|---|
addShard | 500101 | 配置 | 设备配置状态 | Log |
applicationMessage | 100799 | 记录 | 进程活动 | 其他 |
auditConfigure | 500201 or 500203 | 发现 | 设备配置状态 |
|
authzCheck | 600301 - 600304 | 应用程序 | API活动 |
|
authenticate | 300201 | IAM | 身份验证 | 登录 |
clientMetadata | 400101 | 网络 | 网络活动 | 打开 |
createCollection | 300401 | IAM | 实体管理 | 创建 |
createDatabase | 300401 | IAM | 实体管理 | 创建 |
createIndex | 300401 | IAM | 实体管理 | 创建 |
createRole | 300101 | IAM | 帐户变更 | 创建 |
createUser | 300101 | IAM | 帐户变更 | 创建 |
directAuthMutation | 300100 | IAM | 帐户变更 | 未知 |
dropAllRolesFromDatabase | 300106 | IAM | 帐户变更 | 删除 |
dropAllUsersFromDatabase | 300106 | IAM | 帐户变更 | 删除 |
dropCollection | 300404 | IAM | 实体管理 | 删除 |
dropDatabase | 300404 | IAM | 实体管理 | 删除 |
dropIndex | 300404 | IAM | 实体管理 | 删除 |
dropPrivilegesToRole | 300107 | IAM | 帐户变更 | 附加策略 |
dropRole | 300106 | IAM | 帐户变更 | 删除 |
dropUser | 300106 | IAM | 帐户变更 | 删除 |
enableSharding | 500201 | 配置 | 设备配置状态 | Log |
getClusterParameter | 600302 | 应用程序 | API活动 | 读取 |
grantRolesToRole | 300107 | IAM | 帐户变更 | 附加策略 |
grantRolesToUser | 300107 | IAM | 帐户变更 | 附加策略 |
importCollection | 300401 | IAM | 实体管理 | 创建 |
logout | 300202 | IAM | 身份验证 | 注销 |
refineCollectionShardKey | 500201 | 配置 | 设备配置状态 | Log |
removeShard | 500201 | 配置 | 设备配置状态 | Log |
renameCollection | 300403 | IAM | 实体管理 | Update |
replSetReconfig | 500201 | 配置 | 设备配置状态 | Log |
revokePrivilegesFromRole | 300108 | IAM | 帐户变更 | 分离策略 |
revokeRolesFromRole | 300108 | IAM | 帐户变更 | 分离策略 |
revokeRolesFromUser | 300108 | IAM | 帐户变更 | 分离策略 |
rotateLog | 100799 | 记录 | 处理 | 其他 |
setClusterParameter | 500201 | 配置 | 设备配置状态 | Log |
shardCollection | 500201 | 配置 | 设备配置状态 | Log |
shutdown | 100702 | 记录 | 处理 | 终止 |
startup | 100701 | 记录 | 处理 | Launch |
updateCachedClusterServerParameter | 500201 | 配置 | 设备配置状态 | Log |
updateRole | 300199 | IAM | 帐户变更 | 其他 |
updateUser | 300199 | IAM | 帐户变更 | 其他 |
举例
以下示例显示了不同动作类型的OCSF模式日志消息。
身份验证操作
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
AuthCheck 操作
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }