收集 AWS CloudWatch 日志

支持的语言:

本文档介绍了如何将 AWS CloudWatch 日志注入到 Google Security Operations。AWS CloudWatch 是一项监控和可观测性服务,可收集日志、指标和事件形式的运营数据。通过此集成,您可以将这些日志发送到 Google SecOps 以进行分析和监控。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 AWS 的特权访问权限

创建 Amazon S3 存储桶

我们建议使用专门为 CloudWatch 日志创建的存储桶。

  1. 打开 Amazon S3 控制台
  2. 如有需要,您可以更改地区
    • 在导航栏中,选择 CloudWatch Logs 所在的区域
  3. 点击创建存储分区
    • 存储桶名称:为存储桶输入一个有意义的名称。
    • 区域:选择 CloudWatch Logs 数据所在的区域。
    • 点击创建

创建对 Amazon S3 和 CloudWatch 日志具有完全访问权限的 IAM 用户

  1. 打开 IAM 控制台
  2. 依次点击“用户”图标 >“添加用户”
  3. 输入用户名(例如 CWExport)。
  4. 选择以程序化方式访问AWS 管理控制台访问权限
  5. 选择自动生成的密码自定义密码
  6. 依次点击下一步 > 权限
  7. 选择 Attach existing policies directly
  8. 搜索并选择 AmazonS3FullAccessCloudWatchLogsFullAccess 政策,以将其分配给用户。
  9. 依次点击下一步 > 代码
  10. 依次点击下一步 > 检查
  11. 点击创建用户

配置 Amazon S3 存储桶的权限

  1. Amazon S3 控制台中,选择您之前创建的存储桶。
  2. 依次点击权限 > 存储分区政策

  3. 存储分区政策编辑器中,添加以下政策:

    {             
  "Version": "2012-10-17",
  "Statement": [
      {
        "Action": "s3:GetBucketAcl",
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::cw-exported-logs",
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
      },
      {
        "Action": "s3:PutObject" ,
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::my-exported-logs/random-string/*",
        "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
        "Principal": { "Service": "logs.us-east-1.amazonaws.com" }

      }

  ]

}

  4. 更改并更新以下 json 变量:

    • cw-exported-logs 更改为您的 S3 存储桶的名称。
    • random-string 更改为随机生成的字符串。
    • Principal 指定正确的区域端点

  5. 点击保存,将您刚刚添加的政策设置为存储桶的访问权限政策。

如何配置 CloudWatch 导出

  1. 以您之前创建的 IAM 用户的身份登录。
  2. 打开 CloudWatch 控制台
  3. 在导航菜单中,选择日志组
  4. 选择现有日志组的名称或创建新的日志组。
  5. 依次选择操作 > 将数据导出到 Amazon S3
  6. 将数据导出到 Amazon S3 界面上,找到定义数据导出

  7. 使用开始时间结束时间设置要导出的数据的时间范围。

  8. 选择 S3 存储桶:选择与 Amazon S3 存储桶关联的账号。

  9. S3 存储桶名称:选择一个 Amazon S3 存储桶。

  10. S3 存储桶前缀:输入您在存储桶政策中指定的随机生成的字符串。

  11. 选择导出,将日志数据导出到 Amazon S3。

  12. 如需查看导出到 Amazon S3 的日志数据的状态,请依次选择操作 > 查看所有导出到 Amazon S3 的数据

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 AWS CloudWatch Logs)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 AWS CloudWatch 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
    • URI is a:根据您的存储桶结构,选择目录目录(包括子目录)

    • 源删除选项:根据您的提取偏好设置选择删除选项。

    • 访问密钥 ID:有权从 S3 存储桶读取数据的用户的访问密钥。

    • 私有访问密钥:具有从 S3 存储桶读取权限的用户的私有密钥。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。
  • S3 URI:存储桶 URI。
    • s3://your-log-bucket-name/
      • your-log-bucket-name 替换为您的 S3 存储桶的实际名称。
  • URI is a:根据您的存储桶结构,选择目录目录(包括子目录)
  • 源删除选项:根据您的提取偏好设置选择删除选项。

  • 访问密钥 ID:有权从 S3 存储桶读取数据的用户的访问密钥。

  • 私有访问密钥:具有从 S3 存储桶读取权限的用户的私有密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
account principal.user.userid 原始日志中的 account 值会映射到 principal.user.userid 字段。
account_id principal.user.userid 原始日志中的 account_id 值会映射到 principal.user.userid 字段。
AlertId metadata.product_log_id 原始日志中的 AlertId 值会映射到 metadata.product_log_id 字段。
arrivalTimestamp metadata.event_timestamp 原始日志中的 arrivalTimestamp 值会转换为时间戳并映射到 metadata.event_timestamp 字段。
attemptsMade additional.fields 原始日志中的 attemptsMade 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“Attempts Made”。
awsAccountId principal.asset_id 原始日志中的 awsAccountId 值会添加“AWS 账号 ID:”前缀,并映射到 principal.asset_id 字段。
billed_duration additional.fields 原始日志中的 billed_duration 值会作为键值对添加到 additional.fields 中,键为“billed_duration”。
BytesIn network.received_bytes 原始日志中的 BytesIn 值会转换为无符号整数,并映射到 network.received_bytes 字段。
cipher network.tls.cipher 原始日志中的 cipher 值会映射到 network.tls.cipher 字段。
Ciphers network.tls.client.supported_ciphers 原始日志中的 Ciphers 值按英文逗号拆分,每个值都会添加到 network.tls.client.supported_ciphers 数组中。
cloudwatchLog security_result.description 原始日志中的 cloudwatchLog 值会映射到 security_result.description 字段。
CloudAccountId metadata.product_deployment_id 原始日志中的 CloudAccountId 值会映射到 metadata.product_deployment_id 字段。
CloudType target.resource.attribute.cloud.environment 原始日志中的 CloudType 值决定了 target.resource.attribute.cloud.environment 的值。如果 CloudType 为“gcp”,则值为“GOOGLE_CLOUD_PLATFORM”。如果 CloudType 为“aws”,则值为“AMAZON_WEB_SERVICES”。如果 CloudType 为“azure”,则值为“MICROSOFT_AZURE”。
Context.Execution.Id target.resource.attribute.labels 原始日志中的 Context.Execution.Id 值会作为键值对添加到 target.resource.attribute.labels 中,键为“Context Id”。
Context.Execution.Name target.resource.attribute.labels 原始日志中的 Context.Execution.Name 值会作为键值对添加到 target.resource.attribute.labels 中,键为“Context Name”。
Context.Execution.RoleArn target.resource.product_object_id 原始日志中的 Context.Execution.RoleArn 值会映射到 target.resource.product_object_id 字段。
descr metadata.description 原始日志中 descr 的值(在移除多余的空格后)会映射到 metadata.description 字段,除非该值为“-”。如果 descr 为空,则改用 log 的值。
destination.name target.location.country_or_region 原始日志中的 destination.name 值会映射到 target.location.country_or_region 字段。
destination.properties.prefix target.resource.attribute.labels 原始日志中的 destination.properties.prefix 值会作为键值对添加到 target.resource.attribute.labels 中,键为“目标属性前缀”。
detail.additionalEventData.configRuleArn security_result.rule_id 原始日志中的 detail.additionalEventData.configRuleArn 值会映射到 security_result.rule_id 字段。
detail.additionalEventData.configRuleName security_result.rule_name 原始日志中的 detail.additionalEventData.configRuleName 值会映射到 security_result.rule_name 字段。
detail.additionalEventData.managedRuleIdentifier additional.fields 原始日志中的 detail.additionalEventData.managedRuleIdentifier 值将作为键值对添加到 additional.fields 中,键为“managedRuleIdentifier”。
detail.additionalEventData.notificationJobType additional.fields 原始日志中的 detail.additionalEventData.notificationJobType 值会作为键值对添加到 additional.fields 中,键为“notificationJobType”。
detail.awsAccountId principal.asset_id 原始日志中的 detail.awsAccountId 值会添加“AWS 账号 ID:”前缀,并映射到 principal.asset_id 字段。
detail.awsRegion principal.location.name 原始日志中的 detail.awsRegion 值会映射到 principal.location.name 字段。
detail.configRuleArn security_result.rule_id 原始日志中的 detail.configRuleArn 值会映射到 security_result.rule_id 字段。
detail.configRuleName security_result.rule_name 原始日志中的 detail.configRuleName 值会映射到 security_result.rule_name 字段。
detail.configurationItem.awsAccountId principal.user.userid 原始日志中的 detail.configurationItem.awsAccountId 值会映射到 principal.user.userid 字段。
detail.configurationItem.awsRegion target.location.country_or_region 原始日志中的 detail.configurationItem.awsRegion 值会映射到 target.location.country_or_region 字段。
detail.configurationItem.configuration.complianceType security_result.summary 原始日志中的 detail.configurationItem.configuration.complianceType 值会映射到 security_result.summary 字段。
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels 原始日志中的 detail.configurationItem.configuration.targetResourceId 值会作为键值对添加到 target.resource.attribute.labels 中,键为“configurationItem configuration targetResourceId”。
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels 原始日志中的 detail.configurationItem.configuration.targetResourceType 值会作为键值对添加到 target.resource.attribute.labels 中,键为“configurationItem configuration targetResourceType”。
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time 原始日志中的 detail.configurationItem.configurationItemCaptureTime 值会转换为时间戳并映射到 _target.asset.attribute.creation_time 字段。
detail.configurationItem.configurationItemStatus target.resource.attribute.labels 原始日志中的 detail.configurationItem.configurationItemStatus 值会作为键值对添加到 target.resource.attribute.labels 中,键为“configurationItem configurationItemStatus”。
detail.configurationItem.configurationStateId target.resource.attribute.labels 原始日志中的 detail.configurationItem.configurationStateId 值会转换为字符串,并以键值对的形式添加到 target.resource.attribute.labels 中,键为 configurationItem configurationStateId
detail.configurationItem.resourceId target.resource.id 原始日志中的 detail.configurationItem.resourceId 值会映射到 target.resource.id 字段。
detail.configurationItem.resourceType target.resource.resource_subtype 原始日志中的 detail.configurationItem.resourceType 值会映射到 target.resource.resource_subtype 字段。
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id 原始日志中的 detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn 值会映射到 security_result.rule_id 字段。
detail.eventCategory security_result.category_details 原始日志中的 detail.eventCategory 值会映射到 security_result.category_details 字段。
detail.eventID metadata.product_log_id 原始日志中的 detail.eventID 值会映射到 metadata.product_log_id 字段。
detail.eventName additional.fields 原始日志中的 detail.eventName 值会作为键值对添加到 additional.fields 中,键为“Event Name”。
detail.eventSource target.application 原始日志中的 detail.eventSource 值会映射到 target.application 字段。
detail.eventType additional.fields 原始日志中的 detail.eventType 值会作为键值对添加到 additional.fields 中,键为“Event Type”。
detail.eventVersion metadata.product_version 原始日志中的 detail.eventVersion 值会映射到 metadata.product_version 字段。
detail.managementEvent additional.fields 原始日志中的 detail.managementEvent 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“detail managementEvent”。
detail.messageType target.resource.attribute.labels 原始日志中的 detail.messageType 值会作为键值对添加到 target.resource.attribute.labels 中,键为“消息类型”。
detail.newEvaluationResult.complianceType security_result.summary 原始日志中的 detail.newEvaluationResult.complianceType 值会映射到 security_result.summary 字段。
detail.newEvaluationResult.configRuleInvokedTime additional.fields 原始日志中的 detail.newEvaluationResult.configRuleInvokedTime 值会作为键值对添加到 additional.fields 中,键为“newEvaluationResult_configRuleInvokedTime”。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 原始日志中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值将作为键值对添加到 additional.fields 中,键为“newEvaluationResult_configRuleName”。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 原始日志中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值会作为键值对添加到 additional.fields 中,键为“newEvaluationResult_resourceId”。
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 原始日志中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值会作为键值对添加到 additional.fields 中,键为“newEvaluationResult_resourceType”。
detail.newEvaluationResult.resultRecordedTime additional.fields 原始日志中的 detail.newEvaluationResult.resultRecordedTime 值会作为键值对添加到 additional.fields 中,键为“newEvaluationResult_resultRecordedTime”。
detail.oldEvaluationResult.configRuleInvokedTime additional.fields 原始日志中的 detail.oldEvaluationResult.configRuleInvokedTime 值将作为键值对添加到 additional.fields 中,键为“oldEvaluationResult_configRuleInvokedTime”。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields 原始日志中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值会作为键值对添加到 additional.fields 中,键为 oldEvaluationResult_configRuleName
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields 原始日志中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值会以键值对的形式添加到 additional.fields 中,键为“oldEvaluationResult_resourceId”。
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields 原始日志中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值会以键值对的形式添加到 additional.fields 中,键为“oldEvaluationResult_resourceType”。
detail.oldEvaluationResult.resultRecordedTime additional.fields 原始日志中的 detail.oldEvaluationResult.resultRecordedTime 值会作为键值对添加到 additional.fields 中,键为“oldEvaluationResult_resultRecordedTime”。
detail.readOnly additional.fields 原始日志中的 detail.readOnly 值会转换为字符串,并以键值对的形式添加到 additional.fields 中,键为“detail readOnly”。
detail.recipientAccountId target.resource.attribute.labels 原始日志中的 detail.recipientAccountId 值会作为键值对添加到 target.resource.attribute.labels 中,键为“Recipient Account Id”。
detail.recordVersion metadata.product_version 原始日志中的 detail.recordVersion 值会映射到 metadata.product_version 字段。
detail.requestID target.resource.attribute.labels 原始日志中的 detail.requestID 值会以键值对的形式添加到 target.resource.attribute.labels 中,键为“Detail Request ID”。
detail.resourceType target.resource.resource_subtype 原始日志中的 detail.resourceType 值会映射到 target.resource.resource_subtype 字段。
detail.s3Bucket about.resource.name 原始日志中的 detail.s3Bucket 值会映射到 about.resource.name 字段。
detail.s3ObjectKey target.resource.attribute.labels 原始日志中的 detail.s3ObjectKey 值会作为键值对添加到 target.resource.attribute.labels 中,键为“s3ObjectKey”。
detail.userAgent network.http.user_agent 原始日志中的 detail.userAgent 值会映射到 network.http.user_agent 字段。
detail.userIdentity.accessKeyId target.user.userid 原始日志中的 detail.userIdentity.accessKeyId 值会映射到 target.user.userid 字段。
detail.userIdentity.accountId metadata.product_deployment_id 原始日志中的 detail.userIdentity.accountId 值会映射到 metadata.product_deployment_id 字段。
detail.userIdentity.arn target.user.userid 原始日志中的 detail.userIdentity.arn 值会映射到 target.user.userid 字段。
detail.userIdentity.principalId principal.user.product_object_id 原始日志中的 detail.userIdentity.principalId 值会映射到 principal.user.product_object_id 字段。
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels 原始日志中的 detail.userIdentity.sessionContext.attributes.mfaAuthenticated 值会作为键值对添加到 principal.user.attribute.labels 中,键为“mfaAuthenticated”。
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name 原始日志中的 detail.userIdentity.sessionContext.sessionIssuer.userName 值会映射到 target.user.user_display_name 字段。
detail.userIdentity.type principal.resource.type 原始日志中的 detail.userIdentity.type 值会映射到 principal.resource.type 字段。
detail-type metadata.product_event_type 原始日志中的 detail-type 值会映射到 metadata.product_event_type 字段。
device principal.asset.product_object_id 原始日志中的 device 值会映射到 principal.asset.product_object_id 字段。
digestPublicKeyFingerprint target.file.sha1 原始日志中的 digestPublicKeyFingerprint 值会映射到 target.file.sha1 字段。
digestS3Bucket principal.resource.name 原始日志中的 digestS3Bucket 值会映射到 principal.resource.name 字段。
digestS3Object principal.asset.asset_id 原始日志中的 digestS3Object 值会添加“S3 对象:”前缀,并映射到 principal.asset.asset_id 字段。
digestSignatureAlgorithm network.tls.cipher 原始日志中的 digestSignatureAlgorithm 值会映射到 network.tls.cipher 字段。
digestStartTime metadata.event_timestamp 原始日志中的 digestStartTime 值会转换为时间戳并映射到 metadata.event_timestamp 字段。
dimensions.VolumeId additional.fields 原始日志中的 dimensions.VolumeId 值会作为键值对添加到 additional.fields 中,键为“VolumeId”。
duration additional.fields 原始日志中的 duration 值会作为键值对添加到 additional.fields 中,键为“duration”。
errorCode security_result.rule_name 原始日志中的 errorCode 值会映射到 security_result.rule_name 字段。
errorMessage security_result.summary 原始日志中的 errorMessage 值会映射到 security_result.summary 字段。
executionId principal.process.pid 原始日志中的 executionId 值会映射到 principal.process.pid 字段。
host principal.hostnameprincipal.ip 原始日志中的 host 值(连字符替换为英文句点)会被解析为 IP 地址,如果成功,则会映射到 principal.ip 字段。否则,它会映射到 principal.hostname 字段。
http_verb network.http.method 原始日志中的 http_verb 值会转换为大写形式,并映射到 network.http.method 字段。
kubernetes.container_hash additional.fields 原始日志中的 kubernetes.container_hash 值会作为键值对添加到 additional.fields 中,键为“container_hash”。
kubernetes.container_image additional.fields 原始日志中的 kubernetes.container_image 值会作为键值对添加到 additional.fields 中,键为“container_image”。
kubernetes.container_name additional.fields 原始日志中的 kubernetes.container_name 值会作为键值对添加到 additional.fields 中,键为“container_name”。
kubernetes.docker_id principal.asset_id 原始日志中的 kubernetes.docker_id 值会添加“id: ”前缀,并映射到 principal.asset_id 字段。
kubernetes.host principal.hostnameprincipal.ip 原始日志中的 kubernetes.host 值(连字符替换为英文句点)会被解析为 IP 地址,如果成功,则会映射到 principal.ip 字段。否则,它会映射到 principal.hostname 字段。
kubernetes.namespace principal.namespace 原始日志中的 kubernetes.namespace 值会映射到 principal.namespace 字段。
kubernetes.namespace_name principal.namespace 原始日志中的 kubernetes.namespace_name 值会映射到 principal.namespace 字段。
kubernetes.pod_id principal.asset.asset_id 原始日志中的 kubernetes.pod_id 值会添加“pod_id: ”前缀,并映射到 principal.asset.asset_id 字段。
kubernetes.pod_name additional.fields 原始日志中的 kubernetes.pod_name 值会作为键值对添加到 additional.fields 中,键为“pod name”。
lambdaArn principal.hostname 原始日志中的 lambdaArn 值会映射到 principal.hostname 字段。
level security_result.severity 原始日志中的 level 值决定了 security_result.severity 的值。如果 level 为“Info”,则值为“INFORMATIONAL”。如果 level 为“Error”,则值为“ERROR”。如果 level 为“Warning”,则值为“MEDIUM”。
log metadata.description 如果 descr 为空,则原始日志中的 log 值会映射到 metadata.description 字段。
logFiles about 对于原始日志中 logFiles 数组中的每个元素,系统都会创建一个 about 对象,并将 file.full_path 设置为 s3Object,将 asset.hostname 设置为 s3Bucket,并将 file.sha256 设置为 hashValue
log_processed.cause security_result.summary 原始日志中的 log_processed.cause 值会映射到 security_result.summary 字段。
log_processed.ids intermediary.hostname 对于原始日志中 log_processed.ids 数组中的每个元素,系统都会创建一个 intermediary 对象,并将 hostname 设置为相应元素的值。
log_processed.level security_result.severity 原始日志中的 log_processed.level 值会映射到 security_result.severity 字段。
log_processed.msg metadata.description 原始日志中的 log_processed.msg 值会映射到 metadata.description 字段。
log_processed.ts metadata.event_timestamp 原始日志中的 log_processed.ts 值会转换为时间戳并映射到 metadata.event_timestamp 字段。
log_type metadata.log_type 原始日志中的 log_type 值会映射到 metadata.log_type 字段。这是为提供背景信息而添加的自定义字段。
logevent.message security_result.description 原始日志中的 logevent.message 值会映射到 security_result.description 字段。它还使用 grok 进行解析,以提取其他字段。
logGroup security_result.about.resource.name 原始日志中的 logGroup 值会映射到 security_result.about.resource.name 字段。
logStream security_result.about.resource.attribute.labels 原始日志中的 logStream 值会作为键值对添加到 security_result.about.resource.attribute.labels 中,键为“logStream”。
memory_used additional.fields 原始日志中的 memory_used 值会以键值对的形式添加到 additional.fields 中,键为“memory_used”。
metric_name additional.fields 原始日志中的 metric_name 值会作为键值对添加到 additional.fields 中,键为“metric_name”。
metric_stream_name additional.fields 原始日志中的 metric_stream_name 值会作为键值对添加到 additional.fields 中,键为“metric_stream_name”。
namespace principal.namespace 原始日志中的 namespace 值会映射到 principal.namespace 字段。
owner principal.user.userid 原始日志中的 owner 值会映射到 principal.user.userid 字段。
parameters additional.fields 原始日志中的 parameters 值会作为键值对添加到 additional.fields 中,键为“Parameters”。
Path principal.process.file.full_path 原始日志中的 Path 值会映射到 principal.process.file.full_path 字段。
pid principal.process.pid 原始日志中的 pid 值会映射到 principal.process.pid 字段。
PolicyName security_result.rule_name 原始日志中的 PolicyName 值会映射到 security_result.rule_name 字段。
prin_host principal.hostname 原始日志中的 prin_host 值会映射到 principal.hostname 字段。
principal_hostname principal.hostname 原始日志中的 principal_hostname 值会映射到 principal.hostname 字段。
process principal.application 原始日志中的 process 值会映射到 principal.application 字段。
rawData additional.fields 原始日志中的 rawData 值将作为键值对添加到 additional.fields 中,键为“原始数据”。
Recommendation security_result.detection_fields 原始日志中的 Recommendation 值会作为键值对添加到 security_result.detection_fields 中,键为“Recommendation”。
referral_url network.http.referral_url 原始日志中的 referral_url 值会映射到 network.http.referral_url 字段。
region principal.location.name 原始日志中的 region 值会映射到 principal.location.name 字段。
resp_code network.http.response_code 原始日志中的 resp_code 值会转换为整数并映射到 network.http.response_code 字段。
resource_url network.http.referral_url 原始日志中的 resource_url 值会映射到 network.http.referral_url 字段。
ResourceType target.resource.resource_subtype 原始日志中的 ResourceType 值会映射到 target.resource.resource_subtype 字段。
response_body additional.fields 原始日志中的 response_body 值将作为键值对添加到 additional.fields 中,键为“Response body”。
Role target.resource.product_object_id 原始日志中的 Role 值会映射到 target.resource.product_object_id 字段。
s3_bucket_path target.file.full_path 原始日志中的 s3_bucket_path 值会映射到 target.file.full_path 字段。
sec_result.category security_result.category sec_result.category 的值派生自解析器逻辑。如果 descr 包含“需要身份验证”,则值为“AUTH_VIOLATION”。
sec_result.description security_result.description sec_result.description 的值派生自解析器逻辑。如果存在,则设置为 cloudwatchLog 的值。
sec_result.severity security_result.severity sec_result.severity 的值派生自解析器逻辑。该值根据 severitylevel 的值进行设置。
sec_result.summary security_result.summary sec_result.summary 的值派生自解析器逻辑。如果存在,则设置为 log_processed.causeerrorMessage 的值。
security_result security_result security_result 对象由各种字段和解析器逻辑构建而成。
serverId additional.fields 原始日志中的 serverId 值会作为键值对添加到 additional.fields 中,键为“server_id”。
severity security_result.severity 原始日志中的 severity 值(转换为大写并归一化)会映射到 security_result.severity 字段。
Source principal.hostname 原始日志中的 Source 值会映射到 principal.hostname 字段。
source principal.hostname 原始日志中的 source 值会映射到 principal.hostname 字段。
SourceIP principal.ip 原始日志中的 SourceIP 值会映射到 principal.ip 字段。
src_port principal.port 如果 src_port 为“80”,则将其转换为整数并映射到 principal.port 字段,并将 network.application_protocol 设置为“HTTP”。
stream additional.fields 原始日志中的 stream 值会以键值对的形式添加到 additional.fields 中,键为“stream”。
subscriptionFilters security_result.about.resource.attribute.labels 对于原始日志中 subscriptionFilters 数组中的每个元素,系统都会向 security_result.about.resource.attribute.labels 添加一个键值对,其中键为“subscriptionFilter”,值为数组中的相应元素。
support_contact target.resource.attribute.labels 原始日志中的 support_contact 值会作为键值对添加到 target.resource.attribute.labels 中,键为“支持联系人”。
t_ip target.ip 原始日志中 t_ip 的值(在移除连字符后)会被解析为 IP 地址,如果成功,则会映射到 target.ip 字段。
time metadata.event_timestamp 原始日志中的 time 值会转换为时间戳并映射到 metadata.event_timestamp 字段。
timestamp metadata.event_timestamp 原始日志中的 timestamp 值会使用各种格式转换为时间戳,并映射到 metadata.event_timestamp 字段。
tls network.tls.version 原始日志中的 tls 值会映射到 network.tls.version 字段。
transferDetails.serverId additional.fields 原始日志中的 transferDetails.serverId 值会作为键值对添加到 additional.fields 中,键为“server_id”。
transferDetails.sessionId network.session_id 原始日志中的 transferDetails.sessionId 值会映射到 network.session_id 字段。
transferDetails.username principal.user.user_display_name 原始日志中的 transferDetails.username 值会映射到 principal.user.user_display_name 字段。
ts metadata.event_timestamp 原始日志中的 ts 值(如果有时区,则与时区结合)会转换为时间戳并映射到 metadata.event_timestamp 字段。
type metadata.product_event_type 原始日志中的 type 值会映射到 metadata.product_event_type 字段。
unit additional.fields 原始日志中的 unit 值将作为键值对添加到 additional.fields 中,键为“unit”。
url target.url 原始日志中的 url 值会映射到 target.url 字段。
url_back_to_product metadata.url_back_to_product 原始日志中的 url_back_to_product 值会映射到 metadata.url_back_to_product 字段。
User principal.user.userid 原始日志中的 User 值会映射到 principal.user.userid 字段。
user target.user.useridmetadata.event_typeextensions.auth.mechanism 如果存在 user,则 metadata.event_type 设置为“USER_LOGIN”,extensions.auth.mechanism 设置为“NETWORK”,并且 user 的值会映射到 target.user.userid
value.count additional.fields 原始日志中的 value.count 值会转换为字符串,并以键值对的形式添加到 additional.fields 中,键为“count”。
value.max additional.fields 原始日志中的 value.max 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“max”。
value.min additional.fields 原始日志中的 value.min 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“min”。
value.sum additional.fields 原始日志中的 value.sum 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“sum”。
workflowId additional.fields 原始日志中的 workflowId 值将作为键值对添加到 additional.fields 中,键为“workflowId”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。