laurel-logs Log Parser

« laurel-logs »
v0.2 by crowdsecurity
Log parser

Parse laurel json logs

Installation

cscli parsers install crowdsecurity/laurel-logs

YAML Configuration

1onsuccess: next_stage
2#debug: true
3name: crowdsecurity/laurel-logs
4description: "Parse laurel json logs"
5## 1.5.2 returns "" , 1.5.3 returns nil
6filter: evt.Parsed.program == 'laurel'
7pattern_syntax:
8  FLOAT: '[0-9\.]+'
9nodes:
10  - filter: UnmarshalJSON(evt.Parsed.message, evt.Unmarshaled, "laurel") in ["", nil]
11    grok:
12      pattern: '%{FLOAT:timestamp}:%{INT:event_inc_id}'
13      expression: evt.Unmarshaled.laurel.ID
14    nodes:
15      - filter: evt.Unmarshaled.laurel.SYSCALL != nil
16        statics:
17          - meta: service
18            value: laurel
19          - meta: log_type
20            expression: evt.Unmarshaled.laurel.SYSCALL.SYSCALL
21          - target: evt.StrTime
22            expression: evt.Parsed.timestamp
23          - meta: exe
24            expression: evt.Unmarshaled.laurel.SYSCALL.exe
25          - meta: uid
26            expression: int(evt.Unmarshaled.laurel.SYSCALL.uid)
27          - meta: auditd_eventid
28            expression: evt.Parsed.event_inc_id
29          - meta: parent_progname
30            expression: evt.Unmarshaled.laurel.SYSCALL.PPID.exe
31          - meta: ppid
32            expression: int(evt.Unmarshaled.laurel.SYSCALL.ppid)
33          - meta: auid
34            expression: int(evt.Unmarshaled.laurel.SYSCALL.auid)
35          - meta: euid
36            expression: int(evt.Unmarshaled.laurel.SYSCALL.euid)
37          - meta: tty
38            expression: evt.Unmarshaled.laurel.SYSCALL.tty
39          - meta: subj
40            expression: evt.Unmarshaled.laurel.SYSCALL.subj
41          - meta: pid
42            expression: int(evt.Unmarshaled.laurel.SYSCALL.pid)
43          - meta: comm
44            expression: evt.Unmarshaled.laurel.SYSCALL.comm
45          - meta: sig
46            expression: evt.Unmarshaled.laurel.SYSCALL.sig
47          - meta: res
48            expression: evt.Unmarshaled.laurel.SYSCALL.res
49          - meta: str_UID
50            expression: int(evt.Unmarshaled.laurel.SYSCALL.UID)
51          - meta: str_GID
52            expression: int(evt.Unmarshaled.laurel.SYSCALL.GID)
53      - filter: evt.Unmarshaled.laurel.ANOM_ABEND != nil
54        statics:
55          - meta: service
56            value: laurel
57          - meta: log_type
58            value: anom_abend
59          - meta: exe
60            expression: evt.Unmarshaled.laurel.ANOM_ABEND[0].exe
61          - meta: uid
62            expression: int(evt.Unmarshaled.laurel.ANOM_ABEND[0].uid)
63          - meta: auditd_eventid
64            expression: evt.Parsed.event_inc_id
65          - meta: pid
66            expression: int(evt.Unmarshaled.laurel.ANOM_ABEND[0].pid)
67          - meta: auid
68            expression: int(evt.Unmarshaled.laurel.ANOM_ABEND[0].auid)
69          - meta: sig
70            expression: Sprintf("%v", int(evt.Unmarshaled.laurel.ANOM_ABEND[0].sig))
71statics:
72  - target: evt.StrTime
73    expression: evt.Parsed.timestamp

Hub configuration

« laurel-logs »v0.2 by crowdsecurityLog parser

« laurel-logs »
v0.2 by crowdsecurity
Log parser