Fale Conosco
Governança de Dados 15 Fev 2026

Guia definitivo para mapeamento de logs

Como estruturar o envio de eventos críticos para sua plataforma de gestão de eventos de segurança.

Implementar uma solução de SIEM (Security Information and Event Management) é um desafio que vai muito além de apenas instalar o software. A verdadeira inteligência de segurança nasce de um processo bem estruturado de mapeamento e normalização de logs.

Por que mapear os logs é o primeiro passo?

Se você enviar lixo para o seu SIEM, você terá lixo nos seus alertas (o famoso Garbage In, Garbage Out). O mapeamento garante que você entenda exatamente quais dispositivos estão gerando dados, qual o formato desses dados e quais campos são cruciais para a detecção de ameaças.

1. Inventário de Fontes de Dados (Data Sources)

Antes de configurar qualquer Forwarder ou serviço de Syslog, liste seus ativos críticos:

  • Infraestrutura e Rede: Firewalls (Palo Alto, Fortinet, Cisco), Switches, Roteadores.
  • Sistemas Operacionais: Windows Event Logs (Security, System, Application), Linux (auth.log, syslog).
  • Segurança (Security Stack): EDR, Antivírus, Proxies, WAF.
  • Aplicações: Bancos de dados, Servidores Web (Apache/Nginx), Aplicações de negócio (logs customizados).

2. Normalização e o modelo CIM

No universo Splunk, a normalização de dados é frequentemente atrelada ao CIM (Common Information Model). O CIM é uma metodologia que padroniza os nomes dos campos para que regras de correlação funcionem independentemente do fabricante do produto.

“Ao invés de criar uma regra de detecção para o Firewall X e outra para o Firewall Y, você cria uma única regra apontada para o modelo de dados de Rede (Network Traffic) que abrange ambos, poupando tempo e processamento.”

Exemplo de parsing (props.conf)

Ao ingerir um log customizado, você precisará instruir o Splunk sobre como quebrar as linhas e extrair o timestamp corretamente para evitar anomalias no indexador. Veja um exemplo clássico de configuração no arquivo props.conf:

[meu_log_customizado]
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
TIME_PREFIX = ^\[
TIME_FORMAT = %Y-%m-%d %H:%M:%S
TRUNCATE = 10000
category = Custom
pulldown_type = true

Conclusão

O sucesso do seu SOC depende da qualidade da sua ingestão de dados. Comece com os logs de maior valor para segurança (Autenticação, Firewall, EDR), valide o parsing minuciosamente e garanta o alinhamento com o modelo de dados antes de partir para a criação de alertas avançados de Threat Hunting.