Blue Coat ProxySG ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Blue Coat ProxySG ログを Google Security Operations に取り込む方法について説明します。パーサーは Blue Coat ウェブ プロキシログを処理し、SYSLOG+JSON 形式と SYSLOG+KV 形式をサポートします。一連の条件チェックと Grok パターンを使用してログ形式を特定し、関連するフィールドを抽出して統合データモデル(UDM)にマッピングします。さまざまなログ構造とエッジケースを処理します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • Blue Coat ProxySG への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindlane エージェントを構成する

  1. 構成ファイルにアクセスします。
    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        tcplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:5145"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'BLUECOAT_WEBPROXY'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際の顧客 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent
    
  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Blue Coat ProxySG で Syslog を構成する

  1. Blue Coat ProxySG 管理コンソールにログインします。
  2. [Maintenance] > [Event Logging] > [Syslog] に移動します。
  3. [New] をクリックします。
  4. 次の構成の詳細を指定します。
    • Loghost: Bindplane エージェントの IP アドレスを入力します。
    • [OK] をクリックします。
  5. [Syslog を有効にする] チェックボックスをオンにします。
  6. [レベル] を選択します。
  7. [詳細] チェックボックスをオンにします。
  8. [適用] をクリックします。

Blue Coat ProxySG でカスタム クライアントを構成する

  1. [構成> アクセス ロギング> ログ> アップロード クライアント] に移動します。
  2. ログリストで [ストリーミング] を選択します。
  3. [クライアント タイプ] リストから [カスタム クライアント] を選択します。
  4. [設定] をクリックします。
  5. [設定] リストから、プライマリまたは代替のカスタム サーバーを選択して構成します。
  6. 次の構成の詳細を指定します。
    • ホスト: アップロード先のホスト名または IP アドレスを入力します。
    • ポート: 514 に設定します。
    • セキュリティで保護された接続(SSL)を使用する: [オフ] に設定します。
    • [OK] をクリックします。
    • [適用] をクリックして、[クライアントをアップロード] タブに戻ります。
  7. main、im、streaming のうち使用するログ形式ごとに、次の手順を行います。
    • ログを選択します。
    • アップロード クライアントカスタム クライアントに割り当てます。
    • <No Encryption><No Signing> を選択します。
    • ログファイルをテキスト ファイルとして保存します。
    • [アップロード スケジュール> アップロード タイプ] をクリックします。
    • アクセスログをストリーミングするには、[アクセスログをアップロードする] で [継続的] を選択します。
    • [OK] をクリックします。
  8. [適用] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
@timestamp metadata.event_timestamp Blue Coat アプライアンスによって記録されたイベントのタイムスタンプ。JSON データから解析されます。
application-name target.application ネットワーク トラフィックに関連付けられているアプリケーションの名前。JSON データから解析されます。
c-ip principal.asset.ip
principal.ip
クライアント IP アドレス。JSON データから解析されます。
c_ip principal.ip
principal.asset.ip
クライアント IP アドレス。さまざまなログ形式から解析されます。
c_ip_host principal.hostname
principal.asset.hostname
クライアントのホスト名(利用可能な場合)。JSON データから解析されます。
cs-auth-group principal_user_group_identifiers クライアント認証グループ。JSON データから解析されます。
cs-bytes network.sent_bytes クライアントが送信したバイト数。JSON データから解析されます。
cs-categories security_result.category_details Blue Coat アプライアンスによってウェブ リクエストに割り当てられたカテゴリ。JSON データから解析されます。
cs-host target_hostname クライアントがリクエストしたホスト名。JSON データから解析されます。
cs-icap-error-details security_result.detection_fields クライアントサイドの ICAP エラーの詳細。JSON データから解析されます。キーは「cs-icap-error-details」です。
cs-icap-status security_result.description クライアントサイドの ICAP ステータス。JSON データから解析されます。
cs-method network.http.method リクエストで使用される HTTP メソッド。JSON データから解析されます。
cs-threat-risk security_result.risk_score Blue Coat アプライアンスによって割り当てられた脅威リスクスコア。JSON データから解析されます。
cs-uri-extension cs_uri_extension リクエストされた URI の拡張子。JSON データから解析されます。
cs-uri-path _uri_path リクエストされた URI のパス。JSON データから解析されます。
cs-uri-port cs_uri_port リクエストされた URI のポート。JSON データから解析されます。
cs-uri-query _uri_query リクエストされた URI のクエリ文字列。JSON データから解析されます。
cs-uri-scheme _uri_scheme リクエストされた URI のスキーム(http、https など)。JSON データから解析されます。
cs-userdn principal_user_userid クライアントのユーザー名。JSON データから解析されます。
cs-version cs_version クライアントで使用される HTTP バージョン。JSON データから解析されます。
cs(Referer) network.http.referral_url 参照元 URL。JSON データから解析されます。
cs(User-Agent) network.http.user_agent ユーザー エージェント文字列。JSON データから解析されます。
cs(X-Requested-With) security_result.detection_fields X-Requested-With ヘッダーの値。JSON データから解析されます。キーは「cs-X-Requested-With」です。
cs_auth_group principal_user_group_identifiers クライアント認証グループ。さまざまなログ形式から解析されます。
cs_bytes network.sent_bytes クライアントが送信したバイト数。さまざまなログ形式から解析されます。
cs_categories security_result.category_details ウェブ リクエストに割り当てられたカテゴリ。さまざまなログ形式から解析されます。
cs_host target_hostname クライアントがリクエストしたホスト名。さまざまなログ形式から解析されます。
cs_method network.http.method リクエストで使用される HTTP メソッド。さまざまなログ形式から解析されます。
cs_referer network.http.referral_url 参照元 URL。さまざまなログ形式から解析されます。
cs_threat_risk security_result.risk_score Blue Coat アプライアンスによって割り当てられた脅威リスクスコア。KV ログ形式から解析されます。
cs_uri target.url リクエストされた完全な URI。KV ログ形式から解析されます。
cs_uri_extension cs_uri_extension リクエストされた URI の拡張子。KV ログ形式から解析されます。
cs_uri_path _uri_path リクエストされた URI のパス。さまざまなログ形式から解析されます。
cs_uri_port target_port リクエストされた URI のポート。さまざまなログ形式から解析されます。
cs_uri_query _uri_query リクエストされた URI のクエリ文字列。さまざまなログ形式から解析されます。
cs_uri_scheme _uri_scheme リクエストされた URI のスキーム(http、https など)。さまざまなログ形式から解析されます。
cs_user principal_user_userid クライアントのユーザー名。一般的なログ形式から解析されます。
cs_user_agent network.http.user_agent ユーザー エージェント文字列。さまざまなログ形式から解析されます。
cs_username principal_user_userid クライアントのユーザー名。さまざまなログ形式から解析されます。
cs_x_forwarded_for _intermediary.ip X-Forwarded-For ヘッダーの値。一般的なログ形式から解析されます。
deviceHostname _intermediary.hostname Blue Coat アプライアンスのホスト名。KV ログ形式から解析されます。
dst ip_target 宛先 IP アドレス。KV ログ形式から解析されます。
dst_ip ip_target 宛先 IP アドレス。SSL ログ形式から解析されます。
dst_user target.user.userid 移行先ユーザー ID。プロキシ リバース ログ形式から解析されます。
dstport target_port 宛先ポート。KV ログ形式から解析されます。
dstport target.port 宛先ポート。SSL ログ形式から解析されます。
exception-id _block_reason ブロックされたリクエストを示す例外 ID。KV ログ形式から解析されます。
filter-category _categories イベントをトリガーしたフィルタのカテゴリ。KV ログ形式から解析されます。
filter-result _policy_action リクエストに適用されたフィルタの結果。KV ログ形式から解析されます。
hostname principal.hostname
principal.asset.hostname
ログを生成するデバイスのホスト名。SSL ログ形式と一般ログ形式から解析されます。
isolation-url isolation-url 分離に関連する URL(該当する場合)。JSON データから解析されます。
ma-detonated ma-detonated マルウェアのデトネーション ステータス。JSON データから解析されます。
page-views page-views ページビュー数。JSON データから解析されます。
r-ip ip_target リモート IP アドレス。JSON データから解析されます。
r-supplier-country r-supplier-country リモート サプライヤーの国。JSON データから解析されます。
r_dns target_hostname リモート DNS 名。JSON データから解析されます。
r_ip ip_target リモート IP アドレス。さまざまなログ形式から解析されます。
r_port target_port リモートポート。JSON データから解析されます。
risk-groups security_result.detection_fields イベントに関連付けられているリスクグループ。JSON データから解析されます。キーは「risk-groups」です。
rs-icap-error-details security_result.detection_fields リモート サーバーサイドからの ICAP エラーの詳細。JSON データから解析されます。キーは「rs-icap-error-details」です。
rs-icap-status rs-icap-status リモート サーバー側の ICAP ステータス。JSON データから解析されます。
rs(Content-Type) target.file.mime_type リモート サーバーからのレスポンスのコンテンツ タイプ。KV ログ形式から解析されます。
rs_content_type target.file.mime_type リモート サーバーからのレスポンスのコンテンツ タイプ。さまざまなログ形式から解析されます。
rs_server rs_server リモート サーバー情報。JSON データから解析されます。
rs_status _network.http.response_code リモート サーバーからのレスポンス ステータス コード。JSON データから解析されます。
r_supplier_country intermediary.location.country_or_region リモート サプライヤーの国。一般的なログ形式から解析されます。
r_supplier_ip intermediary.ip リモート サプライヤーの IP アドレス。一般的なログ形式から解析されます。
s-action _metadata.product_event_type プロキシによって実行されたアクション。KV ログ形式から解析されます。
s-ip _intermediary.ip サーバーの IP アドレス。KV ログ形式から解析されます。
s-source-ip _intermediary.ip サーバーの送信元 IP アドレス。JSON データから解析されます。
s_action _metadata.product_event_type プロキシによって実行されたアクション。さまざまなログ形式から解析されます。
s_ip target.ip
target.asset.ip
サーバーの IP アドレス。さまざまなログ形式から解析されます。
s_ip_host _intermediary.hostname サーバーのホスト名。JSON データから解析されます。
s-supplier-country intermediary.location.country_or_region サプライヤー サーバーの国。JSON データから解析されます。
s-supplier-failures security_result.detection_fields サプライヤーの障害。JSON データから解析されます。キーは「s-supplier-failures」です。
s-supplier-ip _intermediary.ip サプライヤー サーバーの IP アドレス。JSON データから解析されます。
s_supplier_ip intermediary.ip サプライヤー サーバーの IP アドレス。JSON データから解析されます。
s_supplier_name _intermediary.hostname サプライヤー サーバー名。一般的なログ形式から解析されます。
sc-bytes network.received_bytes サーバーが受信したバイト数。KV ログ形式から解析されます。
sc-filter-result _policy_action サーバー側で結果をフィルタします。KV ログ形式から解析されます。
sc-status _network.http.response_code サーバーから返されたステータス コード。KV ログ形式から解析されます。
sc_bytes network.received_bytes サーバーが受信したバイト数。さまざまなログ形式から解析されます。
sc_connection sc_connection サーバー接続情報。一般的なログ形式から解析されます。
sc_filter_result _policy_action サーバー側で結果をフィルタします。さまざまなログ形式から解析されます。
sc_status _network.http.response_code サーバーから返されたステータス コード。さまざまなログ形式から解析されます。
search_query target.resource.attribute.labels URL に検索クエリが含まれている場合は、その検索クエリ。target_url から抽出。キーは「search_query」。
session_id network.session_id セッション ID。プロキシ リバース ログ形式から解析されます。
src ip_principal 送信元 IP アドレス。KV ログ形式から解析されます。
src_hostname principal.hostname
principal.asset.hostname
ソースのホスト名。一般的なログ形式から解析されます。
src_ip ip_principal 送信元 IP アドレス。SSL ログ形式から解析されます。
srcport principal_port 送信元ポート。KV ログ形式から解析されます。
src_port principal.port 送信元ポート。SSL ログ形式から解析されます。
s_source_port intermediary.port サーバーの送信元ポート。一般的なログ形式から解析されます。
summary security_result.summary セキュリティ結果の概要。プロキシ リバースと SSL のログ形式から解析されます。
syslogtimestamp syslogtimestamp Syslog のタイムスタンプ。KV ログ形式から解析されます。
target_application target.application リクエストのターゲットとなるアプリケーション。x_bluecoat_application_name または application-name から取得されます。
target_hostname target.hostname
target.asset.hostname
ターゲット ホスト名。ログ形式に応じて、r_dnscs-host、または他のフィールドから派生します。
target_port target.port ターゲット ポート。ログ形式に応じて、r_portcs_uri_port、または dstport から取得されます。
target_sip target.ip
target.asset.ip
ターゲット サーバーの IP アドレス。一般的なログ形式から解析されます。
target_url target.url ターゲット URL。target_hostname_uri_path_uri_querycs_uri から取得されます。
time-taken network.session_duration セッションまたはリクエストの期間。KV ログ形式から解析され、秒とナノ秒に変換されます。
time_taken network.session_duration セッションまたはリクエストの期間。さまざまなログ形式から解析され、秒とナノ秒に変換されます。
tls_version network.tls.version 接続で使用される TLS バージョン。SSL ログ形式から解析されます。
upload-source upload-source アップロードのソース。JSON データから解析されます。
username principal_user_userid ユーザー名。KV ログ形式から解析されます。
verdict security_result.detection_fields セキュリティ分析の結果。JSON データから解析されます。キーは「verdict」です。
wf-env wf_env ウェブ フィルタリング サービスの環境。JSON データから解析されます。
wf_id security_result.detection_fields ウェブ フィルタリング ID。JSON データから解析されます。キーは「wf_id」です。
wrong_cs_host principal.hostname
principal.asset.hostname
クライアントのホスト名が正しく解析されませんでした。IP アドレスでない場合は、プリンシパルのホスト名として使用されます。一般的なログ形式から解析されます。
x-bluecoat-access-type x-bluecoat-access-type アクセス権の種類。JSON データから解析されます。
x-bluecoat-appliance-name intermediary.application Blue Coat アプライアンスの名前。JSON データから解析されます。
x-bluecoat-application-name target_application アプリケーションの名前。JSON データから解析されます。
x-bluecoat-application-operation x_bluecoat_application_operation アプリケーション オペレーション。JSON データから解析されます。
x-bluecoat-location-id x-bluecoat-location-id ロケーション ID。JSON データから解析されます。
x-bluecoat-location-name x-bluecoat-location-name ビジネスの名前。JSON データから解析されます。
x-bluecoat-placeholder security_result.detection_fields プレースホルダ情報。JSON データから解析されます。キーは「x-bluecoat-placeholder」です。
x-bluecoat-reference-id security_result.detection_fields 参照 ID。JSON データから解析されます。キーは「x-bluecoat-reference-id」です。
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id リクエストのテナント ID。JSON データから解析されます。
x-bluecoat-transaction-uuid metadata.product_log_id トランザクション UUID。JSON データから解析されます。
x-client-agent-sw software.name クライアント エージェント ソフトウェア。JSON データから解析され、principal.asset.software にマージされます。
x-client-agent-type principal.application クライアント エージェントのタイプ。JSON データから解析されます。
x-client-device-id principal.resource.product_object_id クライアント デバイス ID。JSON データから解析されます。
x-client-device-name x-client-device-name クライアント デバイス名。JSON データから解析されます。
x-client-device-type x-client-device-type クライアント デバイスのタイプ。JSON データから解析されます。
x-client-os principal.asset.platform_software.platform クライアント オペレーティング システム。JSON データから解析されます。「Windows」が含まれている場合は、プラットフォームを WINDOWS に設定します。
x-client-security-posture-details x-client-security-posture-details クライアントのセキュリティ対策の詳細。JSON データから解析されます。
x-client-security-posture-risk-score security_result.detection_fields クライアントのセキュリティ対策のリスクスコア。JSON データから解析されます。キーは「x-client-security-posture-risk-score」です。
x-cloud-rs security_result.detection_fields クラウド関連のリモート サーバー情報。JSON データから解析されます。キーは「x-cloud-rs」です。
x-cs-certificate-subject x_cs_certificate_subject クライアント側の証明書のサブジェクト。JSON データから解析されます。
x-cs-client-ip-country x-cs-client-ip-country クライアントの IP アドレスの国。JSON データから解析されます。
x-cs-connection-negotiated-cipher network.tls.cipher クライアント側からネゴシエートされた暗号。JSON データから解析されます。
x-cs-connection-negotiated-cipher-size security_result.detection_fields クライアント側からネゴシエートされた暗号サイズ。JSON データから解析されます。キーは「x-cs-connection-negotiated-cipher-size」です。
x-cs-connection-negotiated-ssl-version network.tls.version_protocol クライアント側からネゴシエートされた SSL バージョン。JSON データから解析されます。
x-cs-ocsp-error security_result.detection_fields クライアントサイドからの OCSP エラー。JSON データから解析されます。キーは「x-cs-ocsp-error」です。
x-cs(referer)-uri-categories x-cs(referer)-uri-categories クライアント側のリファラー URI カテゴリ。JSON データから解析されます。
x-data-leak-detected security_result.detection_fields データ漏洩検出のステータス。JSON データから解析されます。キーは「x-data-leak-detected」です。
x-exception-id x_exception_id 例外 ID。JSON データから解析されます。
x-http-connect-host x-http-connect-host HTTP 接続ホスト。JSON データから解析されます。
x-http-connect-port x-http-connect-port HTTP 接続ポート。JSON データから解析されます。
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header メタデータを含む ICAP リクエスト変更ヘッダー。JSON データから解析されます。
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header メタデータを含む ICAP レスポンス変更ヘッダー。JSON データから解析されます。
x-rs-certificate-hostname network.tls.client.server_name リモート サーバー側の証明書のホスト名。JSON データから解析されます。
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category リモート サーバー側の証明書のホスト名カテゴリ。JSON データから解析されます。
x-rs-certificate-hostname-category x_rs_certificate_hostname_category リモート サーバー側の証明書のホスト名カテゴリ。JSON データから解析されます。
x-rs-certificate-hostname-threat-risk security_result.detection_fields リモート サーバー側の証明書のホスト名の脅威リスク。JSON データから解析されます。キーは「x-rs-certificate-hostname-threat-risk」です。
x-rs-certificate-observed-errors x_rs_certificate_observed_errors リモート サーバー側で証明書のエラーが確認されました。JSON データから解析されます。
x-rs-certificate-validate-status network.tls.server.certificate.subject リモート サーバー側の証明書の検証ステータス。JSON データから解析されます。
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher リモート サーバー側でネゴシエートされた暗号。JSON データから解析されます。
x-rs-connection-negotiated-cipher-size security_result.detection_fields リモート サーバー側からネゴシエートされた暗号サイズ。JSON データから解析されます。キーは「x-rs-connection-negotiated-cipher-size」です。
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength リモート サーバー側でネゴシエートされた暗号の強度。JSON データから解析されます。
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version リモート サーバーサイドからネゴシエートされた SSL バージョン。JSON データから解析されます。
x-rs-ocsp-error x_rs_ocsp_error リモート サーバー側からの OCSP エラー。JSON データから解析されます。
x-sc-connection-issuer-keyring security_result.detection_fields 接続発行者のキーリング。JSON データから解析されます。キーは「x-sc-connection-issuer-keyring」です。
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias 接続発行者のキーリング エイリアス。JSON データから解析されます。
x-sr-vpop-country principal.location.country_or_region VPOP の国。JSON データから解析されます。
x-sr-vpop-country-code principal.location.country_or_region VPOP の国コード。JSON データから解析されます。
x-sr-vpop-ip principal.ip
principal.asset.ip
VPOP の IP アドレス。JSON データから解析されます。
x-symc-dei-app x-symc-dei-app Symantec DEI アプリケーション。JSON データから解析されます。
x-symc-dei-via security_result.detection_fields Symantec DEI via. JSON データから解析されます。キーは「x-symc-dei-via」です。
x-tenant-id security_result.detection_fields テナント ID。JSON データから解析されます。キーは「x-tenant-id」です。
x-timestamp-unix x-timestamp-unix Unix タイムスタンプ。JSON データから解析されます。
x_bluecoat_application_name target_application アプリケーション名。さまざまなログ形式から解析されます。
x_bluecoat_application_operation x_bluecoat_application_operation アプリケーション オペレーション。さまざまなログ形式から解析されます。
x_bluecoat_transaction_uuid metadata.product_log_id トランザクション UUID。さまざまなログ形式から解析されます。
x_cs_certificate_subject x_cs_certificate_subject クライアントサイド証明書のサブジェクト。一般的なログ形式から解析されます。
x_cs_client_effective_ip ip_principal クライアントの有効な IP アドレス。一般的なログ形式から解析されます。
x_cs_connection_negotiated_cipher network.tls.cipher クライアントサイドでネゴシエートされた暗号。一般的なログ形式から解析されます。
x_cs_connection_negotiated_ssl_version network.tls.version_protocol クライアントサイドでネゴシエートされた SSL バージョン。一般的なログ形式から解析されます。
x_exception_id _block_reason 例外 ID。さまざまなログ形式から解析されます。
x_icap_reqmod_header x_icap_reqmod_header ICAP リクエスト変更ヘッダー。一般的なログ形式から解析されます。
x_icap_respmod_header x_icap_respmod_header ICAP レスポンス変更ヘッダー。一般的なログ形式から解析されます。
x_rs_certificate_hostname network.tls.client.server_name リモート サーバー証明書のホスト名。一般的なログ形式から解析されます。
x_rs_certificate_hostname_category x_rs_certificate_hostname_category リモート サーバー証明書のホスト名カテゴリ。一般的なログ形式から解析されます。
x_rs_certificate_observed_errors x_rs_certificate_observed_errors リモート サーバー証明書でエラーが検出されました。一般的なログ形式から解析されます。
x_rs_certificate_validate_status network.tls.server.certificate.subject リモート サーバー証明書の検証ステータス。さまざまなログ形式から解析されます。
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength リモート サーバーでネゴシエートされた暗号の強度。一般的なログ形式から解析されます。
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version リモート サーバーでネゴシエートされた SSL バージョン。一般的なログ形式から解析されます。
x_virus_id security_result.detection_fields ウイルス ID。さまざまなログ形式から解析されます。キーは「x-virus-id」です。

派生フィールド(パーサー ロジックから):

  • metadata.event_type: network.application_protocolnetwork.http.methodprincipal.*target.*dst_user などのフィールドを含む複雑な条件のセットに基づいて決定されます。
  • metadata.vendor_name: 静的値: Blue Coat Systems
  • metadata.product_name: 静的値: ProxySG
  • metadata.log_type: 静的値: BLUECOAT_WEBPROXY
  • principal.asset.platform_software.platform: x-client-osWindows が含まれている場合は、WINDOWS に設定します。
  • network.application_protocol: _uri_scheme または target.port に基づくルックアップ テーブルを使用して決定されます。デフォルトは UNKNOWN_APPLICATION_PROTOCOL です。
  • network.ip_protocol: _uri_scheme に基づくルックアップ テーブルを使用して決定されます。デフォルトは UNKNOWN_IP_PROTOCOL です。
  • security_result.action: _policy_action に基づいて決定されます(OBSERVED -> ALLOWDENIED -> BLOCK)。
  • security_result.about.labels: rs_servercommunication_type、SSL ログ形式のステータスなどのさまざまなフィールドから派生したラベルが含まれます。
  • security_result.detection_fields: x_virus_idx_rs_certificate_observed_errorsx_rs_connection_negotiated_cipher_strength などのフィールドから派生したさまざまな Key-Value ペアが含まれます。
  • vulns.vulnerabilities: 存在する場合は proxy_reverse_info フィールドから入力されます。cve_idabout.labels などの脆弱性情報が含まれます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。