/usr/share/logsparser/normalizers/snare.xml is in python-logsparser 0.4-1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 | <?xml version="1.0" encoding="UTF-8"?>
<!--++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++-->
<!-- -->
<!-- pylogparser - Logs parsers python library -->
<!-- Copyright (C) 2011 Wallix Inc. -->
<!-- -->
<!--++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++-->
<!-- -->
<!-- This package is free software; you can redistribute -->
<!-- it and/or modify it under the terms of the GNU Lesser -->
<!-- General Public License as published by the Free Software -->
<!-- Foundation; either version 2.1 of the License, or (at -->
<!-- your option) any later version. -->
<!-- -->
<!-- This package is distributed in the hope that it will be -->
<!-- useful, but WITHOUT ANY WARRANTY; without even the implied -->
<!-- warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR -->
<!-- PURPOSE. See the GNU Lesser General Public License for -->
<!-- more details. -->
<!-- -->
<!-- You should have received a copy of the GNU Lesser General -->
<!-- Public License along with this package; if not, write -->
<!-- to the Free Software Foundation, Inc., 59 Temple Place, -->
<!-- Suite 330, Boston, MA 02111-1307 USA -->
<!-- -->
<!--++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++-->
<!DOCTYPE normalizer SYSTEM "normalizer.dtd">
<normalizer name="snare"
version="0.99"
unicode="yes"
ignorecase="yes"
matchtype= "search"
appliedTo= "raw">
<description>
<localized_desc language="en">This normalizer handles event logs sent by Snare agent for Windows.</localized_desc>
<localized_desc language="fr">Ce normaliser analyse les logs envoyés par Snare agent for Windows</localized_desc>
</description>
<authors>
<author>clo@wallix.com</author>
</authors>
<tagTypes>
<tagType name="windows_names" type="basestring">
<description>
<localized_desc language="en">String containing Windows' authorized characters for computers, users, etc...</localized_desc>
<localized_desc language="fr">Chaîne contenant les caractères autorisés de Windows pour les noms d'ordinateur, utilisateurs etc..</localized_desc>
</description>
<regexp>[^\t]+|(?:N/A)</regexp>
</tagType>
<tagType name="snare_event_log_type" type="basestring">
<description>
<localized_desc language="en">'MSWinEventLog' for Snare for Windows.</localized_desc>
<localized_desc language="fr">'MSWinEventLog' pour Snare for Windows.</localized_desc>
</description>
<regexp>MSWinEventLog</regexp>
</tagType>
<tagType name="criticality" type="integer">
<description>
<localized_desc language="en">Criticality tag is a number between 0 and 4.</localized_desc>
<localized_desc language="fr">Le tag criticité est un nombre entre 0 et 4.</localized_desc>
</description>
<regexp>[0-4]</regexp>
</tagType>
<tagType name="event_log_source" type="basestring">
<description>
<localized_desc language="en">After different tests, event_log_source is a string containing [a-zA-Z-_]+, but it may be able to contain more than those characters. Change regexp in that case.</localized_desc>
<localized_desc language="fr">Après plusieurs tests, event_log_source est une chaîne contenant [a-zA-Z-_]+ mais elle pourrait contenir d'autres caracrères, il faudra changer la regexp dans ce cas.</localized_desc>
</description>
<regexp>[a-zA-Z]+(?:[ -][a-zA-Z]+)*</regexp>
</tagType>
<tagType name="sid_type" type="basestring">
<description>
<localized_desc language="en">This is the type of SID used.</localized_desc>
<localized_desc language="fr">Type de SID utilisé.</localized_desc>
</description>
<regexp>(?:[A-Z][a-zA-Z]+(?: [A-Z][a-zA-Z]+)*)|(?:N/A)</regexp>
</tagType>
<tagType name="event_log_type" type="basestring">
<description>
<localized_desc language="en">String that can be anyone of the following regexp.</localized_desc>
<localized_desc language="fr">Chaîne pouvant être une des regexp suivantes.</localized_desc>
</description>
<regexp>Success Audit|Failure Audit|Error|Warning|Information</regexp>
</tagType>
<tagType name="audit_event_category_string" type="basestring">
<description>
<localized_desc language="en">String of the different Windows' audit event category.</localized_desc>
<localized_desc language="fr">Chaîne d'une des catégories d'audit event de Windows.</localized_desc>
</description>
<regexp>[^\t]+|(?:N/A)</regexp>
</tagType>
<tagType name="md5_hexa" type="integer">
<description>
<localized_desc language="en">Hexadecimal number.</localized_desc>
<localized_desc language="fr">Nombre héxadécimal.</localized_desc>
</description>
<regexp>[0-9a-fA-F]{32}</regexp>
</tagType>
</tagTypes>
<callbacks>
<callback name="add_technet_link">
url = "http://www.microsoft.com/technet/support/ee/SearchResults.aspx?Type=0&Message="
log['technet_link'] = url + str(value)
</callback>
</callbacks>
<patterns>
<pattern name="Snare-001">
<description>
<localized_desc language="en">This is the Snare log format.</localized_desc>
<localized_desc language="fr">Description du format des logs Snare.</localized_desc>
</description>
<text>SNARE_EVENT_LOG_TYPE\s+CRITICALITY\s+SOURCE_NAME\s+SNARE_EVENT_COUNTER\s+[a-zA-Z]{3}. \w+ [0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2} [0-9]{3}\s+EVENT_ID\s+EXPANDED_SOURCENAME\sUSER_NAME\s+SID_TYPE\s+EVENT_LOGTYPE\s+COMPUTER_NAME\s+CATEGORY_STRING\s+DATA_STRING(?:\s+MD5_CHECKSUM)?</text>
<tags>
<tag name="snare_event_log_type" tagType="snare_event_log_type">
<description>
<localized_desc language="en">'MSWinEventLog' for Snare for Windows.</localized_desc>
<localized_desc language="fr">'MSWinEventLog' pour Snare for Windows.</localized_desc>
</description>
<substitute>SNARE_EVENT_LOG_TYPE</substitute>
</tag>
<tag name="criticality" tagType="criticality">
<description>
<localized_desc language="en">This is determinated by the Alert level given to the objective by the user. (In Snare Agent)</localized_desc>
<localized_desc language="fr">Niveau d'alerte configuré depuis les objectives de l'agent Snare.</localized_desc>
</description>
<substitute>CRITICALITY</substitute>
</tag>
<tag name="event_log_source_name" tagType="event_log_source">
<description>
<localized_desc language="en">This is the Windows Event Log from which the event record was derived.</localized_desc>
<localized_desc language="fr">Nom du journal Windows d'où vient l'évènement.</localized_desc>
</description>
<substitute>SOURCE_NAME</substitute>
</tag>
<tag name="snare_event_counter" tagType="Integer">
<description>
<localized_desc language="en">Based on the internal Snare event counter.</localized_desc>
<localized_desc language="fr">Basé sur le compteur interne des évènements de Snare.</localized_desc>
</description>
<substitute>SNARE_EVENT_COUNTER</substitute>
</tag>
<tag name="event_id" tagType="Integer">
<description>
<localized_desc language="en">This is the Windows event ID.</localized_desc>
<localized_desc language="fr">ID de l'évènement Windows.</localized_desc>
</description>
<substitute>EVENT_ID</substitute>
<callbacks>
<callback>add_technet_link</callback>
</callbacks>
</tag>
<tag name="event_log_expanded_source_name" tagType="event_log_source">
<description>
<localized_desc language="en">This is the Windows Event Log from which the event record was derived.</localized_desc>
<localized_desc language="fr">Nom du journal Windows d'où vient l'évènement.</localized_desc>
</description>
<substitute>EXPANDED_SOURCENAME</substitute>
</tag>
<tag name="user" tagType="windows_names">
<description>
<localized_desc language="en">This is the Windows' user name.</localized_desc>
<localized_desc language="fr">Nom d'utilisateur Windows.</localized_desc>
</description>
<substitute>USER_NAME</substitute>
</tag>
<tag name="sid_used" tagType="sid_type">
<description>
<localized_desc language="en">This is the type of SID used.</localized_desc>
<localized_desc language="fr">Type de SID utilisé.</localized_desc>
</description>
<substitute>SID_TYPE</substitute>
</tag>
<tag name="event_type" tagType="event_log_type">
<description>
<localized_desc language="en">This can be anyone of 'Success Audit', 'Failure Audit', 'Error', 'Information', 'Warning'.</localized_desc>
<localized_desc language="fr">Peut être un des suivants: 'Success Audit', 'Failure Audit', 'Error', 'Information', 'Warning'.</localized_desc>
</description>
<substitute>EVENT_LOGTYPE</substitute>
</tag>
<tag name="source_host" tagType="windows_names">
<description>
<localized_desc language="en">This is the Windows computer name.</localized_desc>
<localized_desc language="fr">Nom de l'ordinateur.</localized_desc>
</description>
<substitute>COMPUTER_NAME</substitute>
</tag>
<tag name="audit_event_category" tagType="audit_event_category_string">
<description>
<localized_desc language="en">This is the Windows computer name.</localized_desc>
<localized_desc language="fr">Nom de l'ordinateur.</localized_desc>
</description>
<substitute>CATEGORY_STRING</substitute>
</tag>
<tag name="body" tagType="Anything">
<description>
<localized_desc language="en">This contains the data string.</localized_desc>
<localized_desc language="fr">Contient la chaîne de donnée.</localized_desc>
</description>
<substitute>DATA_STRING</substitute>
</tag>
<tag name="md5_checksum" tagType="md5_hexa">
<description>
<localized_desc language="en">This is a MD5 checksum.</localized_desc>
<localized_desc language="fr">Empreinte MD5.</localized_desc>
</description>
<substitute>MD5_CHECKSUM</substitute>
</tag>
</tags>
<examples>
<example>
<text>clo-PC MSWinEventLog 0 Security 191 mer. août 24 14:20:19 201 4688 Microsoft-Windows-Security-Auditing WORKGROUP\CLO-PC$ N/A Success Audit clo-PC Création du processus Un nouveau processus a été créé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : CLO-PC$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Informations sur le processus : ID du nouveau processus : 0x654 Nom du nouveau processus : C:\Windows\servicing\TrustedInstaller.exe Type d’élévation du jeton : Type d’élévation de jeton par défaut (1) ID du processus créateur : 0x1c8 Le type d’élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie de contrôle du compte d’utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni aucun groupe désactivé. Un jeton complet est uniquement utilisé si le contrôle du compte d’utilisateur est désactivé, ou si l’utilisateur est le compte d’administrateur intégré ou un compte de service. Le type 2 est un jeton aux droits élevés sans aucun privilège supprimé ni aucun groupe désactivé. Un jeton aux droits élevés est utilisé lorsque le contrôle de compte d’utilisateur est activé et que l’utilisateur choisit de démarrer le programme en tant qu’administrateur. Un jeton aux droits élevés est également utilisé lorsqu’une application est configurée pour toujours exiger un privilège administratif ou pour toujours exiger les privilèges maximum, et que l’utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le contrôle de compte d’ utilisateur est activé, que l’application n’exige pas le privilège administratif et que l’utilisateur ne choisit pas de démarrer le programme en tant qu’administrateur. 133 </text>
<expectedTags>
<expectedTag name="snare_event_log_type">MSWinEventLog</expectedTag>
<expectedTag name="criticality">0</expectedTag>
<expectedTag name="event_log_source_name">Security</expectedTag>
<expectedTag name="snare_event_counter">191</expectedTag>
<expectedTag name="event_id">4688</expectedTag>
<expectedTag name="event_log_expanded_source_name">Microsoft-Windows-Security-Auditing</expectedTag>
<expectedTag name="user">WORKGROUP\CLO-PC$</expectedTag>
<expectedTag name="sid_used">N/A</expectedTag>
<expectedTag name="event_type">Success Audit</expectedTag>
<expectedTag name="source_host">clo-PC</expectedTag>
<expectedTag name="audit_event_category">Création du processus</expectedTag>
<expectedTag name="body">Un nouveau processus a été créé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : CLO-PC$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Informations sur le processus : ID du nouveau processus : 0x654 Nom du nouveau processus : C:\Windows\servicing\TrustedInstaller.exe Type d’élévation du jeton : Type d’élévation de jeton par défaut (1) ID du processus créateur : 0x1c8 Le type d’élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie de contrôle du compte d’utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni aucun groupe désactivé. Un jeton complet est uniquement utilisé si le contrôle du compte d’utilisateur est désactivé, ou si l’utilisateur est le compte d’administrateur intégré ou un compte de service. Le type 2 est un jeton aux droits élevés sans aucun privilège supprimé ni aucun groupe désactivé. Un jeton aux droits élevés est utilisé lorsque le contrôle de compte d’utilisateur est activé et que l’utilisateur choisit de démarrer le programme en tant qu’administrateur. Un jeton aux droits élevés est également utilisé lorsqu’une application est configurée pour toujours exiger un privilège administratif ou pour toujours exiger les privilèges maximum, et que l’utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le contrôle de compte d’ utilisateur est activé, que l’application n’exige pas le privilège administratif et que l’utilisateur ne choisit pas de démarrer le programme en tant qu’administrateur. 133 </expectedTag>
</expectedTags>
</example>
<example>
<text>MSWinEventLog 0 Security 313 ven. août 26 15:42:40 201 4689 Microsoft-Windows-Security-Auditing AUTORITE NT\SERVICE LOCAL N/A Success Audit a-zA-Z0-9_ Fin du processus Un processus est terminé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0xdf4 Nom du processus : C:\Windows\System32\taskhost.exe État de fin : 0x0 189 </text>
<expectedTags>
<expectedTag name="snare_event_log_type">MSWinEventLog</expectedTag>
<expectedTag name="criticality">0</expectedTag>
<expectedTag name="event_log_source_name">Security</expectedTag>
<expectedTag name="snare_event_counter">313</expectedTag>
<expectedTag name="event_id">4689</expectedTag>
<expectedTag name="event_log_expanded_source_name">Microsoft-Windows-Security-Auditing</expectedTag>
<expectedTag name="user">AUTORITE NT\SERVICE LOCAL</expectedTag>
<expectedTag name="sid_used">N/A</expectedTag>
<expectedTag name="event_type">Success Audit</expectedTag>
<expectedTag name="source_host">a-zA-Z0-9_</expectedTag>
<expectedTag name="audit_event_category">Fin du processus</expectedTag>
<expectedTag name="body">Un processus est terminé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0xdf4 Nom du processus : C:\Windows\System32\taskhost.exe État de fin : 0x0 189 </expectedTag>
</expectedTags>
</example>
<example>
<text>>13<Aug 31 15:42:55 clo-vbox-win-7 MSWinEventLog 1 Security 103 mer. août 31 15:42:54 201 4776 Microsoft-Windows-Security-Auditing clo N/A Failure Audit clo-vbox-win-7 Validation des informations d’identification L’ordinateur a tenté de valider les informations d’identification d’un compte. Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Compte d’ouverture de session : clo Station de travail source : CLO-VBOX-WIN-7 Code d’erreur : 0xc000006e 77 </text>
<expectedTags>
<expectedTag name="snare_event_log_type">MSWinEventLog</expectedTag>
<expectedTag name="criticality">1</expectedTag>
<expectedTag name="event_log_source_name">Security</expectedTag>
<expectedTag name="snare_event_counter">103</expectedTag>
<expectedTag name="event_id">4776</expectedTag>
<expectedTag name="event_log_expanded_source_name">Microsoft-Windows-Security-Auditing</expectedTag>
<expectedTag name="user">clo</expectedTag>
<expectedTag name="sid_used">N/A</expectedTag>
<expectedTag name="event_type">Failure Audit</expectedTag>
<expectedTag name="source_host">clo-vbox-win-7</expectedTag>
<expectedTag name="audit_event_category">Validation des informations d’identification</expectedTag>
<expectedTag name="body">L’ordinateur a tenté de valider les informations d’identification d’un compte. Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Compte d’ouverture de session : clo Station de travail source : CLO-VBOX-WIN-7 Code d’erreur : 0xc000006e 77 </expectedTag>
</expectedTags>
</example>
</examples>
</pattern>
</patterns>
<commonTags>
<commonTag name="program">EventLog</commonTag>
</commonTags>
</normalizer>
|