OCSF模式审计消息
在OCSF模式中,记录的日志消息具有以下语法
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
字段 | 类型 | 描述 |
|---|---|---|
activity_id | 整数 | 活动类型。见OCSF类型映射. |
category_uid | 整数 | 审计事件类别。见OCSF 类别映射。 |
class_uid | 整数 | 审计事件类。见OCSF 类映射。 |
time | 整数 | 事件发生的时间戳(Unix纪元后毫秒数)。 |
severity_id | 整数 | 审计事件的严重性。 |
type_uid | 整数 | 审计事件类、活动和类别的组合。见OCSF 类型映射。 |
metadata | 文档 | 关于事件的元数据,如产品和模式版本。 |
actor | 文档 | 执行操作的用户信息。 |
注意
日志消息可能包含根据记录的事件而定的额外字段。
OCSF 类别映射
此表描述了category_uid值
category_uid | 类别 |
|---|---|
1 | 系统活动 |
2 | 发现 |
3 | 身份和访问管理(IAM) |
4 | 网络活动 |
5 | 发现 |
6 | 应用程序活动 |
OCSF 类映射
完整列表的 OCSF class_uids 以及它们如何映射到不同的类,请参阅 OCSF 文档。
OCSF 类型映射
type_uid 字段表示审计事件的类、活动和类别的组合。生成的 UUID 表示发生活动的类型。
具体来说,type_uid 是 ( class_uid * 100 ) + (activity_id),其中 category_id 是 class_id 的千位。
此表描述了审计操作如何映射到 type_uid
操作类型 | type_uid | 类别 | 类 | 活动 |
|---|---|---|---|---|
addShard | 500101 | 配置 | 设备配置状态 | 日志 |
applicationMessage | 100799 | 系统 | 进程活动 | 其他 |
auditConfigure | 500201 或 500203 | 发现 | 设备配置状态 |
|
authzCheck | 600301 - 600304 | 应用 | API 活动类型 |
|
authenticate | 300201 | 身份和访问管理(IAM) | 身份验证 | 登录 |
clientMetadata | 400101 | 网络 | 网络活动 | 打开 |
createCollection | 300401 | 身份和访问管理(IAM) | 实体管理 | 创建 |
createDatabase | 300401 | 身份和访问管理(IAM) | 实体管理 | 创建 |
createIndex | 300401 | 身份和访问管理(IAM) | 实体管理 | 创建 |
createRole | 300101 | 身份和访问管理(IAM) | 账户变更 | 创建 |
createUser | 300101 | 身份和访问管理(IAM) | 账户变更 | 创建 |
directAuthMutation | 300100 | 身份和访问管理(IAM) | 账户变更 | 未知 |
dropAllRolesFromDatabase | 300106 | 身份和访问管理(IAM) | 账户变更 | 删除 |
dropAllUsersFromDatabase | 300106 | 身份和访问管理(IAM) | 账户变更 | 删除 |
dropCollection | 300404 | 身份和访问管理(IAM) | 实体管理 | 删除 |
dropDatabase | 300404 | 身份和访问管理(IAM) | 实体管理 | 删除 |
dropIndex | 300404 | 身份和访问管理(IAM) | 实体管理 | 删除 |
dropPrivilegesToRole | 300107 | 身份和访问管理(IAM) | 账户变更 | 附加策略 |
dropRole | 300106 | 身份和访问管理(IAM) | 账户变更 | 删除 |
dropUser | 300106 | 身份和访问管理(IAM) | 账户变更 | 删除 |
enableSharding | 500201 | 配置 | 设备配置状态 | 日志 |
getClusterParameter | 600302 | 应用 | API 活动类型 | 读取 |
grantRolesToRole | 300107 | 身份和访问管理(IAM) | 账户变更 | 附加策略 |
grantRolesToUser | 300107 | 身份和访问管理(IAM) | 账户变更 | 附加策略 |
importCollection | 300401 | 身份和访问管理(IAM) | 实体管理 | 创建 |
logout | 300202 | 身份和访问管理(IAM) | 身份验证 | 注销 |
refineCollectionShardKey | 500201 | 配置 | 设备配置状态 | 日志 |
removeShard | 500201 | 配置 | 设备配置状态 | 日志 |
重命名集合 | 300403 | 身份和访问管理(IAM) | 实体管理 | 更新 |
重新配置副本集 | 500201 | 配置 | 设备配置状态 | 日志 |
从角色中撤销权限 | 300108 | 身份和访问管理(IAM) | 账户变更 | 分离策略 |
从角色中撤销角色 | 300108 | 身份和访问管理(IAM) | 账户变更 | 分离策略 |
从用户中撤销角色 | 300108 | 身份和访问管理(IAM) | 账户变更 | 分离策略 |
旋转日志 | 100799 | 系统 | 进程 | 其他 |
设置集群参数 | 500201 | 配置 | 设备配置状态 | 日志 |
分片集合 | 500201 | 配置 | 设备配置状态 | 日志 |
关闭 | 100702 | 系统 | 进程 | 终止 |
启动 | 100701 | 系统 | 进程 | 启动 |
更新缓存的集群服务器参数 | 500201 | 配置 | 设备配置状态 | 日志 |
更新角色 | 300199 | 身份和访问管理(IAM) | 账户变更 | 其他 |
更新用户 | 300199 | 身份和访问管理(IAM) | 账户变更 | 其他 |
示例
以下示例展示了不同操作类型的OCSF模式日志消息。
认证操作
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
认证检查操作
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }