Linux OS に推奨される検索

最後の更新
PDFとして保存

この推奨される検索では、Linux サーバでのユーザアクティビティおよびセキュリティアクティビティのモニタリングで非常によくあるシナリオの一部をカバーしています。これらの検索は、RedHat、Debian、SuSe の各プラットフォーム、およびその派生プラットフォーム (CentOS、Ubuntu、OpenSuSe など) で使用できます。

最初のベースラインとしてこれらのクエリを検索ボックスに入力し、後からクエリと時間範囲をシステムに合わせてカスタマイズできます。検索クエリを頻繁に実行する予定がある場合は、必ず検索を保存してください。

一般的な Linux OS ログを収集することを前提としています (たとえば、/var/log/*)。

以下のサンプルクエリで示している _sourceCategory フィールドは、次の Linux ログおよびそのメタデータに基づいています。

全般的なシステムログ: 一般的な名前は /var/log/syslog または /var/log/messages です
メタフィールド: SourceCategory = OS/Linux/System
認証ログ: 一般的な名前は /var/log/auth または /var/log/auth.log です
メタフィールド: SourceCategory=OS/Linux/Security

これらのログは、Collector によって収集されている場合もあります (インストール中に選択した場合)。

ユーザアクティビティ

これらの検索の目的は、特権ユーザおよび非特権ユーザによる Linux サーバへの認証およびその使用について理解することです。

成功したユーザログインイベント

ユーザ別のすべての成功したリモートおよびローカルのログインを返します。

推奨される時間範囲: -1 日

_sourceCategory=OS/Linux* ("su:" or "sudo:" or "sshd:" or "sshd[" or "pam:") (("Accepted" and "pam") or "session" or ("to" and "on")) !"closed"
| parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<_sourceHost>\S*)\s" nodrop | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_host>\S*)\s(?:\w*):\s+(?<message>.*)$" nodrop | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_host>\S*)\s(?:\S*)\[\d+\]:\s+(?<message>.*)$" nodrop | parse field=message "pam_unix(*:*):" as deamon, ltype nodrop | if (deamon="sshd", "ssh", "") as protocol | fields -deamon, ltype | parse "session * for user * by *(uid=" as action, dest_user, src_user nodrop | parse regex "session (?<action>\w*) for user (?<dest_user>\S*)" nodrop | parse "rhost=* " as src_host nodrop | parse "Accepted * for * from * port * *" as type, dest_user, src_host, src_port, protocol nodrop | where dest_user!="" | if (isEmpty(message),"Authentication successful",message) as message | if (isEmpty(src_host),_sourceHost,src_host) as src_host | src_host as src_ip | if (isEmpty(src_user),dest_user,src_user) as src_user | timeslice 1s | count as eventCount by _timeslice, dest_host, dest_user, message, protocol, src_host, src_ip, src_user | sort by _timeslice, dest_host, dest_user, message, protocol, src_host, src_ip, src_user

すべての失敗した認証試行

ユーザまたはプロセス別のすべての失敗した認証試行を返します。推奨される時間範囲: -1 日

_sourceCategory=*linux* ("authentication failure" or "FAILED SU" or "input_userauth_request: invalid user" or "Invalid user" or "Failed publickey" or "Failed password") | parse regex "\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S+)\s(?<process_name>\w*)(?:\[|:)" nodrop | parse " user = * " as dest_user nodrop | parse "User *: Authentication failure" as dest_user nodrop | parse " user=*" as dest_user nodrop | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s+(?<_sourceHost>\S*)\s+" nodrop | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s+(?<dest_hostname>\S*)\s+(?<message>[^;]+)" nodrop | parse "ruser=* rhost=* user=*" as src_user, src_host, dest_user nodrop | parse "ruser= rhost=* user=*" as src_host, dest_user nodrop | parse " user=*\"" as dest_user nodrop | parse "Authentication failure for * from *" as dest_user, src_host nodrop | parse "FAILED SU (to *) * on" as dest_user, src_user nodrop | parse regex "FAILED LOGIN (?:SESSION|\d+) FROM (?:\S+) FOR (?<dest_user>\S+)," nodrop | parse "input_userauth_request: invalid user *" as dest_user nodrop | parse "Invalid user * from * port *" as dest_user, src_host, src_port nodrop | parse "Failed publickey for * from * port * *" as dest_user, src_host, src_port, protocol nodrop | parse "Failed password for * from * port * *" as dest_user, src_host, src_port, protocol nodrop | parse "Failed password for invalid user * from * port * *" as dest_user, src_host, src_port, protocol nodrop | if (!isEmpty(protocol), protocol, if (message matches "sshd[*", "ssh", protocol)) as protocol | where dest_user!="" | if (src_user="", dest_user, src_user) as src_user | if (src_host=" " or isEmpty(src_host), _sourceHost, src_host) as src_host | src_host as src_ip

ルートアクティビティ

"root" ユーザ別のすべての sudo/su 試行またはアクティビティを返します。環境内でトラッキングする特権ユーザが他にいる場合は、変更して含めます。

_sourceCategory=OS/Linux/Security ("sudo" or "root" or "su") | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S*)\s" nodrop | extract "sudo:\s+(?<src_user>[^ ]+?)\s:.+?USER=(?<dest_user>[^ ]+?)\s+" nodrop | parse regex "COMMAND=(?<command>[^$]*)$" nodrop | parse " user * " as dest_user nodrop | parse " user *" as dest_user nodrop | where command !="" or dest_user in ("root") or src_user in ("root")

失敗した SU 試行

すべての失敗した SU 試行を返します。

_sourceCategory=*linux*("authentication failure" or "FAILED SU" or "input_userauth_request: invalid user" or "Invalid user" or "Failed publickey" or "Failed password") ("su:" or "su[") | parse regex "\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S+)\s(?<process_name>\w*)(?:\[|:)" nodrop | parse " user = * " as dest_user nodrop | parse "User *: Authentication failure" as dest_user nodrop | parse " user=*" as dest_user nodrop | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s+(?<_sourceHost>\S*)\s+" nodrop | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s+(?<dest_hostname>\S*)\s+(?<message>[^;]+)" nodrop | parse "ruser=* rhost=* user=*" as src_user, src_host, dest_user nodrop | parse "ruser= rhost=* user=*" as src_host, dest_user nodrop | parse " user=*\"" as dest_user nodrop | parse "Authentication failure for * from *" as dest_user, src_host nodrop | parse "FAILED SU (to *) * on" as dest_user, src_user nodrop | parse "FAILED su for * by *" as dest_user,src_user nodrop | parse regex "FAILED LOGIN (?:SESSION|\d+) FROM (?<src_tty>\S+) FOR (?<dest_user>\S+)," nodrop | parse "input_userauth_request: invalid user *" as dest_user nodrop | parse "Invalid user * from * port *" as dest_user, src_host, src_port nodrop | parse "Failed publickey for * from * port * *" as dest_user, src_host, src_port, protocol nodrop | parse "Failed password for * from * port * *" as dest_user, src_host, src_port, protocol nodrop | parse "Failed password for invalid user * from * port * *" as dest_user, src_host, src_port, protocol nodrop | where dest_user!="" and src_user!="" | count as attempts by dest_hostname, src_user, dest_user | sort - attempts

セキュリティアクティビティのモニタリング

新規ユーザ

すべての新規ユーザのリストを返します。

推奨される時間範囲: -1 日

_ sourceCategory=OS/Linux/S* "useradd" and (("new user") or ("new account")) | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S*)\s(?<process_name>\w*)(?:\[|:)" nodrop | parse "name=*, UID=*, GID=*, home=*, shell=*" as dest_user,dest_uid,dest_gid,home_dir,shell nodrop | parse "account=*, uid=*, gid=*, home=*, shell=*," as dest_user,dest_uid,dest_gid,home_dir,shell nodrop

新規グループ

すべての新規グループのリストを返します。

推奨される時間範囲: -1 日

_sourceCategory=OS/Linux/S* "new group" | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S*)\s(?<process_name>\w*)(?:\[|:)" nodrop | parse "name=*, GID=*" as dest_group,dest_gid nodrop | parse "group=*, gid=*," as dest_group,dest_gid nodrop

特権グループに追加された既存のユーザ

ユーザが管理者グループに追加されていることを示すすべてのメッセージを返します。環境内の管理者グループの ID または名前を含めるには、このクエリを変更します。

推奨される時間範囲: -1 日

_sourceCategory=OS/Linux/S* "to group" or "default group changed" or "change user" | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S*)\s(?<process_name>\w*)(?:\[|:)" nodrop | parse "add '*' to group '*'" as dest_user,dest_group nodrop | parse "account added to group - account=*, group=*, gid=*," as dest_user,dest_group,dest_gid nodrop | parse "account=*, uid=*, gid=*, old gid=*," as dest_user,dest_uid, dest_gid,src_gid nodrop | parse "change user '*' GID from '*' to '*'" as dest_user,src_gid, dest_gid nodrop | where dest_gid in("10","0","4") or dest_group in ("root", "wheel", "adm")

失敗したパスワードの変更

ユーザパスワードを変更しようとして失敗したすべての試行を返します。

推奨される時間範囲: -1 日

_sourceCategory=OS/Linux/* "Authentication failure" | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S*)\s(?<process_name>\w*)(?:\[|:)" nodrop | parse "User *:" as dest_user nodrop | parse " user=*" as dest_user nodrop | where process_name="passwd"

システム起動

システムが起動 (または再起動) したときのすべてのインシデントを返します。

推奨される時間範囲: -1 日

_sourceCategory=OS/Linux/System "Initializing cgroup subsys cpuset" | parse regex "^(?<StartTime>\S*\s+\d+\s+\d+:\d+:\d+)\s(?<dest_hostname>\S*)\s(?<process_name>\w*)(?:\[\d+\]|):\s+" nodrop

サービスのシャットダウン/終了

サービスをシャットダウンまたは終了したときのすべてのインスタンスを返します。(このクエリではサービスがダウンしてログが生成されなかった場合は取得できない点に注意してください)。

推奨される時間範囲: -1 日

_sourceCategory=OS/Linux/System ("exiting" or "exited" or "terminating" or "terminated" or "shutting") | parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_hostname>\S*)\s(?<process_name>\w*)(?:\[\d+\]|):\s+" | where process_name !=""

ユーザ アクティビティ

成功したユーザ ログイン イベント

すべての失敗した認証試行

ルート アクティビティ

失敗した SU 試行

セキュリティ アクティビティのモニタリング

新規ユーザ

新規グループ

特権グループに追加された既存のユーザ

失敗したパスワードの変更

システム起動

サービスのシャットダウン/終了

ユーザアクティビティ

成功したユーザログインイベント

ルートアクティビティ

セキュリティアクティビティのモニタリング