本頁面由 Cloud Translation API 翻譯而成。

收集 AWS EC2 執行個體記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何將 AWS EC2 執行個體記錄設定至 Google Security Operations，以進行監控和分析。剖析器會從執行個體預留 JSON 記錄中擷取資料、重新建構及重新命名欄位，以符合 UDM，並處理各種資料類型和巢狀結構，包括網路介面、群組和標記，同時產生資產關係和中繼資料。此外，這項服務也會執行錯誤處理作業，並捨棄格式錯誤的 JSON 訊息。

事前準備

確認您擁有 Google SecOps 執行個體。
確認您具備 AWS 的特殊權限。

設定 AWS IAM 和 S3

按照這份使用者指南建立 Amazon S3 值區：建立值區。
請儲存 bucket 的「名稱」和「區域」，以供後續使用。
按照這份使用者指南建立使用者：建立 IAM 使用者。
選取建立的「使用者」。
選取「安全憑證」分頁標籤。
在「Access Keys」部分中，按一下「Create Access Key」。
選取「第三方服務」做為「用途」。
點選「下一步」。
選用：新增說明標記。
按一下「建立存取金鑰」。
按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」，以供日後使用。
按一下 [完成]。
選取 [權限] 分頁標籤。
在「權限政策」部分，按一下「新增權限」。
選取「新增權限」。
選取「直接附加政策」
搜尋並選取 AmazonS3FullAccess 政策。
點選「下一步」。
按一下「新增權限」。

設定 EC2 將記錄傳送至 CloudWatch Logs

使用 SSH 連線至 EC2 執行個體，並提供金鑰組進行驗證。
```
ssh -i your-key.pem ec2-user@your-ec2-public-ip
```
安裝 CloudWatch Logs 代理程式：
- 如要在 Amazon Linux 上安裝 CloudWatch Logs 代理程式，請使用下列指令：
```
sudo yum install -y awslogs
```
- 如要在 Ubuntu 上安裝 CloudWatch Logs 代理程式，請使用下列指令：
```
sudo apt-get install -y awslogs
```
開啟 CloudWatch Logs 設定檔：
```
sudo vi /etc/awslogs/awslogs.conf
```

建立指令碼，擷取這個記錄執行個體中繼資料並寫入檔案：

#!/bin/bash
echo "Architecture: $(curl -s http://169.254.169.254/latest/meta-data/architecture)" >> /var/log/instance_metadata.log
echo "AmiLaunchIndex: $(curl -s http://169.254.169.254/latest/meta-data/ami-launch-index)" >> /var/log/instance_metadata.log
echo "BootMode: $(curl -s http://169.254.169.254/latest/meta-data/boot-mode)" >> /var/log/instance_metadata.log

將指令碼儲存為 /etc/init.d/metadata_script.sh，並使用 crontab 或 rc.local 在執行個體啟動時執行。
開啟 CloudWatch Logs 代理程式的設定檔：
```
sudo vi /etc/awslogs/awslogs.conf
```

在設定檔中新增下列內容：

[/var/log/messages]
file = /var/log/messages
log_group_name = /ec2/system/logs
log_stream_name = {instance_id}

[/var/log/secure]
file = /var/log/secure
log_group_name = /ec2/security/logs
log_stream_name = {instance_id}

[/var/log/auth.log]
file = /var/log/auth.log
log_group_name = /ec2/auth/logs
log_stream_name = {instance_id}

[/var/log/httpd/access_log]
file = /var/log/httpd/access_log
log_group_name = /ec2/application/apache/access_logs
log_stream_name = {instance_id}

[/var/log/httpd/error_log]
file = /var/log/httpd/error_log
log_group_name = /ec2/application/apache/error_logs
log_stream_name = {instance_id}

儲存設定並結束編輯器。
啟動 CloudWatch Logs 代理程式：
- 在 Amazon Linux 上：
```
sudo service awslogs start
```
- 在 Ubuntu 上：
```
sudo service awslogs start
```
確認代理程式正在執行：
```
sudo service awslogs status
```

設定 Lambda 和 S3 的 IAM 權限

在 AWS IAM 主控台中，建立新的 IAM 角色，並授予下列權限：
- logs:PutSubscriptionFilter
- logs:DescribeLogGroups
- logs:GetLogEvents
- s3:PutObject
將這個角色附加至要將記錄檔匯出至 S3 的 Lambda 函式。

設定 Lambda 將記錄匯出至 S3

前往 Lambda 控制台，然後建立新函式。

import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='your-s3-bucket-name',
        Key='logs/ec2-log.gz',
        Body=compressed_data
    )
  ```

請將 your-s3-bucket-name 替換為實際的 S3 bucket 名稱。

將 IAM 角色附加至先前建立的 Lambda 函式。
在 CloudWatch 控制台中，前往「Logs」(記錄) 專區。
選取記錄群組，例如 /ec2/system/logs。
依序點選「動作」>「建立訂閱篩選器」。
將「destination」設為先前建立的「Lambda function」。

在 Google SecOps 中設定資訊提供，擷取 AWS EC2 執行個體記錄

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增」。
在「動態消息名稱」欄位中，輸入動態消息的名稱，例如「AWS EC2 執行個體記錄」。
選取「Amazon S3」做為「來源類型」。
選取「AWS EC2 Instance」(AWS EC2 執行個體) 做為「Log type」(記錄類型)。
點選「下一步」。
指定下列輸入參數的值：
- 區域：Amazon S3 值區所在的區域。
- S3 URI：值區 URI。
  - s3://your-log-bucket-name/
    - 請將 your-log-bucket-name 替換為實際值區名稱。
- 「URI is a」(URI 為)：選取「Directory」(目錄) 或「Directory which includes subdirectories」(包含子目錄的目錄)。
- 來源刪除選項：根據偏好選取刪除選項。
  
  注意： 如果選取 Delete transferred files 或 Delete transferred files and empty directories 選項，請務必授予服務帳戶適當的權限。
- 存取金鑰 ID：具有 S3 bucket 存取權的使用者存取金鑰。
- 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`Architecture`	`entity.entity.asset.attribute.labels.key=instances_set_architecture`、`entity.entity.asset.attribute.labels.value`	這個值直接取自原始記錄中的 `Instances.Architecture` 欄位。
`AmiLaunchIndex`	`entity.entity.asset.attribute.labels.key=instances_set_ami_launch_index`、`entity.entity.asset.attribute.labels.value`	這個值直接取自原始記錄中的 `Instances.AmiLaunchIndex` 欄位。
`BlockDeviceMapping.Ebs.AttachTime`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_ebs_attach_time`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.BlockDeviceMapping.Ebs.AttachTime`。
`BlockDeviceMapping.Ebs.DeleteOnTermination`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_ebs_delete_on_termination`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.BlockDeviceMapping.Ebs.DeleteOnTermination`。
`BlockDeviceMapping.Ebs.Status`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_ebs_volume_status`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.BlockDeviceMapping.Ebs.Status`。
`BlockDeviceMapping.Ebs.VolumeID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=VOLUME`	值取自 `Instances.BlockDeviceMapping.Ebs.VolumeID`。
`BlockDeviceMapping.Name`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_device_name`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.BlockDeviceMapping.Name`。
`BootMode`	`entity.entity.asset.attribute.labels.key=instances_set_boot_mode`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.BootMode`。
`CapacityReservationID`	`entity.entity.asset.attribute.labels.key=instances_set_capacity_reservation_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.CapacityReservationID`。
`CapacityReservationSpecification.CapacityReservationPreference`	`entity.entity.asset.attribute.labels.key=instances_set_capacity_reservation_specification_capacity_reservation_preference`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.CapacityReservationSpecification.CapacityReservationPreference`。
`CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationID`	`entity.entity.asset.attribute.labels.key=instances_set_capacity_reservation_specification_capacity_reservation_target_capacity_reservation_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationID`。
`CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationResourceGroupArn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=Capacity Reservation Arn`	值取自 `Instances.CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationResourceGroupArn`。
`ClientToken`	`entity.entity.asset.attribute.labels.key=instances_set_client_token`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ClientToken`。
`CPU.AmdSevSnp`	`entity.entity.asset.attribute.labels.key=instances_set_cpu_options_amd_sev_snp`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.CPU.AmdSevSnp`。
`CPU.CoreCount`	`entity.entity.asset.hardware.cpu_number_cores`	值取自 `Instances.CPU.CoreCount`。
`CPU.ThreadsPerCore`	`entity.entity.asset.attribute.labels.key=instances_set_cpu_options_threads_per_core`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.CPU.ThreadsPerCore`。
`CurrentInstanceBootMode`	`entity.entity.asset.attribute.labels.key=instances_set_current_instance_boot_mode`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.CurrentInstanceBootMode`。
`DNSName`	`entity.entity.network.dns_domain`	值取自 `Instances.DNSName`。
`EbsOptimized`	`entity.entity.asset.attribute.labels.key=instances_set_ebs_optimized`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.EbsOptimized`。
`ElasticGpuAssociationSet.ElasticGpuAssociationID`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_association_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ElasticGpuAssociationSet.ElasticGpuAssociationID`。
`ElasticGpuAssociationSet.ElasticGpuAssociationState`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_association_state`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ElasticGpuAssociationSet.ElasticGpuAssociationState`。
`ElasticGpuAssociationSet.ElasticGpuAssociationTime`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_association_time`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ElasticGpuAssociationSet.ElasticGpuAssociationTime`。
`ElasticGpuAssociationSet.ElasticGpuID`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ElasticGpuAssociationSet.ElasticGpuID`。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorArn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=Elastic Interface Accelerator Arn`	值取自 `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorArn`。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationID`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_elastic_inference_accelerator_association_set_elastic_inference_accelerator_association_id`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationID`。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationState`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_elastic_inference_accelerator_association_set_elastic_inference_accelerator_association_state`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationState`。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationTime`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_elastic_inference_accelerator_association_set_elastic_inference_accelerator_association_time`、`entity.entity.resource_ancestors.attribute.labels.value`	值取自 `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationTime`。
`EnaSupport`	`entity.entity.asset.attribute.labels.key=instances_set_ena_support`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.EnaSupport`。
`EnclaveOptions.Enabled`	`entity.entity.asset.attribute.labels.key=instances_set_enclave_options_enabled`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.EnclaveOptions.Enabled`。
`GroupSet.GroupID`	`entity.entity.group.product_object_id`、`entity.entity.group.attribute.labels.key=group_set_group_id`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_group_set_group_id`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_id`、`entity.entity.group.attribute.labels.value`	值取自 `GroupSet.GroupID`。陣列中的第一個 `GroupID` 會對應至 `entity.entity.group.product_object_id`。後續的 `GroupID` 值會對應為標籤。
`GroupSet.GroupName`	`entity.entity.group.group_display_name`、`entity.entity.group.attribute.labels.key=group_set_group_name`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_group_set_group_name`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_name`、`entity.entity.group.attribute.labels.value`	值取自 `GroupSet.GroupName`。陣列中的第一個 `GroupName` 會對應至 `entity.entity.group.group_display_name`。後續的 `GroupName` 值會對應為標籤。
`HibernationOptions`	`entity.entity.asset.attribute.labels.key=instances_set_hibernation_options`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.HibernationOptions`。
`HibernationOptions.Configured`	`entity.entity.asset.attribute.labels.key=instances_set_hibernation_options_configured`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.HibernationOptions.Configured`。
`Hypervisor`	`entity.entity.asset.attribute.labels.key=instances_set_hypervisor`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Hypervisor`。
`IamInstanceProfile.Arn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=Instance Profile Arn`	值取自 `Instances.IamInstanceProfile.Arn`。
`IamInstanceProfile.ID`	`entity.entity.resource_ancestors.product_object_id`	值取自 `Instances.IamInstanceProfile.ID`。
`ImageID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=IMAGE`	值取自 `Instances.ImageID`。
`InstanceID`	`entity.metadata.product_entity_id`、`entity.entity.asset.asset_id`	值取自 `Instances.InstanceID`。
`InstanceLifecycle`	`entity.entity.asset.attribute.labels.key=instances_set_instance_lifecycle`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.InstanceLifecycle`。
`InstanceState.Code`	`entity.entity.asset.attribute.labels.key=instances_set_instance_state_code`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.InstanceState.Code`。
`InstanceState.Name`	`entity.entity.asset.deployment_status`	這個值衍生自 `Instances.InstanceState.Name`。如果值為 `running`，UDM 欄位會設為 `ACTIVE`。如果值為 `shutting-down` 或 `stopping`，UDM 欄位會設為 `PENDING_DECOMMISSION`。如果值為 `stopped` 或 `terminated`，UDM 欄位會設為 `DECOMMISSIONED`。
`InstanceType`	`entity.entity.asset.category`	值取自 `Instances.InstanceType`。
`IPAddress`	`entity.entity.asset.ip`	值取自 `Instances.IPAddress`。
`Ipv6Address`	`entity.entity.asset.ip`	值取自 `Instances.Ipv6Address`。
`KernelID`	`entity.entity.asset.attribute.labels.key=instances_set_kernel_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.KernelID`。
`KeyName`	`entity.entity.asset.attribute.labels.key=instances_set_key_name`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.KeyName`。
`LaunchTime`	`entity.metadata.creation_timestamp`	值取自 `Instances.LaunchTime`。
`LicenseSet.LicenseConfigurationArn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=License Configuration Arn`	值取自 `Instances.LicenseSet.LicenseConfigurationArn`。
`MaintenanceOptions`	`entity.entity.asset.attribute.labels.key=instances_set_maintenance_options_auto_recovery`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MaintenanceOptions`。
`MetadataOptions.HTTPEndpoint`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_endpoint`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MetadataOptions.HTTPEndpoint`。
`MetadataOptions.HTTPProtocolIpv6`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_protocol_ipv6`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MetadataOptions.HTTPProtocolIpv6`。
`MetadataOptions.HTTPPutResponseHopLimit`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_put_response_hop_limit`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MetadataOptions.HTTPPutResponseHopLimit`。
`MetadataOptions.HTTPTokens`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_tokens`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MetadataOptions.HTTPTokens`。
`MetadataOptions.InstanceMetadataTags`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_instance_metadata_tags`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MetadataOptions.InstanceMetadataTags`。
`MetadataOptions.State`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_state`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.MetadataOptions.State`。
`Monitoring.State`	`entity.entity.asset.attribute.labels.key=instances_set_monitoring_state`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Monitoring.State`。
`NetworkInterfaceSet.Association.CarrierIP`	`entity.entity.asset.nat_ip`	值取自 `Instances.NetworkInterfaceSet.Association.CarrierIP`。
`NetworkInterfaceSet.Association.CustomerOwnedIP`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_association_customer_owned_ip`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Association.CustomerOwnedIP`。
`NetworkInterfaceSet.Association.IPOwnerID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_association_ip_owner_id`、`entity.entity.asset.attribute.labels.value`、`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_association_ip_owner_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Association.IPOwnerID`。
`NetworkInterfaceSet.Association.PublicDNSName`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_association_public_dns_name`、`entity.entity.asset.attribute.labels.value`、`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_association_public_dns_name`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Association.PublicDNSName`。
`NetworkInterfaceSet.Association.PublicIP`	`entity.entity.asset.ip`	值取自 `Instances.NetworkInterfaceSet.Association.PublicIP`。
`NetworkInterfaceSet.Attachment.AttachTime`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_attach_time`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Attachment.AttachTime`。
`NetworkInterfaceSet.Attachment.AttachmentID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_attachment_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Attachment.AttachmentID`。
`NetworkInterfaceSet.Attachment.DeleteOnTermination`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_delete_on_termination`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Attachment.DeleteOnTermination`。
`NetworkInterfaceSet.Attachment.DeviceIndex`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_device_index`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Attachment.DeviceIndex`。
`NetworkInterfaceSet.Attachment.NetworkCardIndex`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_network_card_index`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Attachment.NetworkCardIndex`。
`NetworkInterfaceSet.Attachment.Status`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_status`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Attachment.Status`。
`NetworkInterfaceSet.Description`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_description`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Description`。
`NetworkInterfaceSet.GroupSet.GroupID`	`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_id`、`entity.entity.group.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.GroupSet.GroupID`。
`NetworkInterfaceSet.GroupSet.GroupName`	`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_name`、`entity.entity.group.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.GroupSet.GroupName`。
`NetworkInterfaceSet.InterfaceType`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_interface_type`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.InterfaceType`。
`NetworkInterfaceSet.Ipv6AddressesSet.Ipv6Address`	`entity.entity.asset.ip`	值取自 `Instances.NetworkInterfaceSet.Ipv6AddressesSet.Ipv6Address`。
`NetworkInterfaceSet.Ipv6AddressesSet.IsPrimaryIpv6`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_ipv6_addresses_set_is_primary_ipv6`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Ipv6AddressesSet.IsPrimaryIpv6`。
`NetworkInterfaceSet.MacAddress`	`entity.entity.asset.mac`	值取自 `Instances.NetworkInterfaceSet.MacAddress`。
`NetworkInterfaceSet.NetworkInterfaceID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_network_interface_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.NetworkInterfaceID`。
`NetworkInterfaceSet.OwnerID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_owner_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.OwnerID`。
`NetworkInterfaceSet.PrivateDNSName`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_dns_name`、`entity.entity.asset.attribute.labels.value`、`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_private_dns_name`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.PrivateDNSName`。
`NetworkInterfaceSet.PrivateIPAddress`	`entity.entity.asset.ip`	值取自 `Instances.NetworkInterfaceSet.PrivateIPAddress`。
`NetworkInterfaceSet.PrivateIPAddressesSet.Primary`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_primary`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.PrivateIPAddressesSet.Primary`。
`NetworkInterfaceSet.PrivateIPAddressesSet.PrivateIPAddress`	`entity.entity.asset.ip`	值取自 `Instances.NetworkInterfaceSet.PrivateIPAddressesSet.PrivateIPAddress`。
`NetworkInterfaceSet.SourceDestCheck`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_source_dest_check`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.SourceDestCheck`。
`NetworkInterfaceSet.Status`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_status`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.Status`。
`NetworkInterfaceSet.SubnetID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_subnet_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.SubnetID`。
`NetworkInterfaceSet.VpcID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_vpc_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.NetworkInterfaceSet.VpcID`。
`OutpostArn`	`entity.relations.entity.asset.product_object_id`	值取自 `Instances.OutpostArn`。
`Placement.Affinity`	`entity.entity.asset.attribute.labels.key=instances_set_placement_affinity`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Placement.Affinity`。
`Placement.AvailabilityZone`	`entity.entity.asset.attribute.cloud.availability_zone`	值取自 `Instances.Placement.AvailabilityZone`。
`Placement.GroupID`	`entity.entity.group.attribute.labels.key=instances_set_placement_group_id`、`entity.entity.group.attribute.labels.value`	值取自 `Instances.Placement.GroupID`。
`Placement.GroupName`	`entity.entity.group.attribute.labels.key=instances_set_placement_group_name`、`entity.entity.group.attribute.labels.value`	值取自 `Instances.Placement.GroupName`。
`Placement.HostID`	`entity.relations.entity.asset.asset_id`	值取自 `Instances.Placement.HostID`。
`Placement.HostResourceGroupArn`	`entity.relations.entity.asset.attribute.labels.key=instances_set_placement_host_resource_group_arn`、`entity.relations.entity.asset.attribute.labels.value`	值取自 `Instances.Placement.HostResourceGroupArn`。
`Placement.PartitionNumber`	`entity.entity.asset.attribute.labels.key=instances_set_placement_partition_number`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Placement.PartitionNumber`。
`Placement.SpreadDomain`	`entity.entity.asset.attribute.labels.key=instances_set_placement_spread_domain`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Placement.SpreadDomain`。
`Placement.Tenancy`	`entity.entity.asset.attribute.labels.key=instances_set_placement_tenancy`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Placement.Tenancy`。
`PlatformDetails`	`entity.entity.asset.attribute.labels.key=instances_set_platform_details`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.PlatformDetails`。
`PrivateDNSName`	`entity.entity.network.dns.questions.name`	值取自 `Instances.PrivateDNSName`。
`PrivateDNSNameOptions.EnableResourceNameDnsAAAARecord`	`entity.entity.network.dns.questions.type`	如果值為 `true`，UDM 欄位會設為 28。
`PrivateDNSNameOptions.EnableResourceNameDnsARecord`	`entity.entity.network.dns.questions.type`	如果值為 `true`，UDM 欄位會設為 1。
`PrivateDNSNameOptions.HostnameType`	`entity.entity.asset.attribute.labels.key=instances_set_private_dns_name_options_hostname_type`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.PrivateDNSNameOptions.HostnameType`。
`PrivateIPAddress`	`entity.entity.asset.ip`	值取自 `Instances.PrivateIPAddress`。
`ProductCodes.ProductCode`	`entity.entity.asset.attribute.labels.key=instances_set_product_codes_product_code`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ProductCodes.ProductCode`。
`ProductCodes.Type`	`entity.entity.asset.attribute.labels.key=instances_set_product_codes_type`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.ProductCodes.Type`。
`RamdiskID`	`entity.entity.asset.attribute.labels.key=instances_set_ramdisk_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.RamdiskID`。
`Reason`	`entity.entity.asset.attribute.labels.key=instances_set_reason`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.Reason`。
`ReservationID`	`entity.additional.fields.key=reservation_id`、`entity.additional.fields.value.string_value`	值取自 `ReservationID`。
`RequesterID`	`entity.additional.fields.key=requester_id`、`entity.additional.fields.value.string_value`	值取自 `RequesterID`。
`RootDeviceName`	`entity.entity.asset.attribute.labels.key=instances_set_root_device_name`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.RootDeviceName`。
`RootDeviceType`	`entity.entity.asset.attribute.labels.key=instances_set_root_device_type`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.RootDeviceType`。
`SourceDestCheck`	`entity.entity.asset.attribute.labels.key=instances_set_source_dest_check`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.SourceDestCheck`。
`SpotInstanceRequestID`	`entity.entity.asset.attribute.labels.key=instances_set_spot_instance_request_id`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.SpotInstanceRequestID`。
`SriovNetSupport`	`entity.entity.asset.attribute.labels.key=instances_set_sriov_net_support`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.SriovNetSupport`。
`StateReason`	`entity.entity.asset.attribute.labels.key=instances_set_state_reason_code`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.StateReason`。
`StateReason.Code`	`entity.entity.asset.attribute.labels.key=instances_set_state_reason_code`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.StateReason.Code`。
`StateReason.Message`	`entity.entity.asset.attribute.labels.key=instances_set_state_reason_message`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.StateReason.Message`。
`SubnetID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=SUBNET`	值取自 `Instances.SubnetID`。
`TagSet.Key`	`entity.entity.asset.attribute.labels.key`	值取自 `Instances.TagSet.Key`。
`TagSet.Value`	`entity.entity.asset.attribute.labels.value`	值取自 `Instances.TagSet.Value`。
`TpmSupport`	`entity.entity.asset.attribute.labels.key=instances_set_tpm_support`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.TpmSupport`。
`UsageOperation`	`entity.entity.asset.attribute.labels.key=instances_set_usage_operation`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.UsageOperation`。
`UsageOperationUpdateTime`	`entity.entity.asset.attribute.labels.key=instances_set_usage_operation_update_time`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.UsageOperationUpdateTime`。
`VirtualizationType`	`entity.entity.asset.attribute.labels.key=instances_set_virtualization_type`、`entity.entity.asset.attribute.labels.value`	值取自 `Instances.VirtualizationType`。
`VpcID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=VPC_NETWORK`	值取自 `Instances.VpcID`。
`collection_time`	`entity.metadata.collected_timestamp`	這個值直接取自原始記錄中的 `collection_time` 欄位。硬式編碼為 `AMAZON_WEB_SERVICES`。針對 IMAGE、VOLUME、SUBNET、VPC_NETWORK、Instance Profile Arn、Capacity Reservation Arn、Elastic Interface Accelerator Arn 和 License Configuration Arn 資源類型，硬式編碼為 `AMAZON_WEB_SERVICES`。硬式編碼為 `SERVER`。硬式編碼為 `Amazon EC2`。硬式編碼為 `AWS`。如果 `Instances.Placement.HostID` 存在且不是空白，則會硬式編碼為 `ASSET`。如果 `Instances.Placement.HostID` 存在且不是空白，則會硬式編碼為 `EXECUTES`。硬式編碼為 ASSET。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。