此页面由 Cloud Translation API 翻译。

收集 Blue Coat ProxySG 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Blue Coat ProxySG 日志注入到 Google Security Operations。解析器可处理 Blue Coat 网络代理日志，支持 SYSLOG+JSON 和 SYSLOG+KV 格式。它使用一系列条件检查和 grok 模式来识别日志格式，提取相关字段并将其映射到统一数据模型 (UDM)，从而处理各种日志结构和边缘情况。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后运行，防火墙端口处于开放状态
对 Blue Coat ProxySG 的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindlane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Blue Coat ProxySG 中配置 Syslog

登录 Blue Coat ProxySG 管理控制台。
依次前往维护 > 事件日志记录 > Syslog。
点击 New（新建）。
提供以下配置详细信息：
- Loghost：输入 Bindplane 代理 IP 地址。
- 点击确定。
选中启用 Syslog 复选框。
选择级别。
选中详细复选框。
点击应用。

在 Blue Coat ProxySG 中配置自定义客户端

依次前往配置 > 访问日志记录 > 日志 > 上传客户端。
在日志列表中选择流式传输。
从“客户端类型”列表中选择自定义客户端。
点击设置。
从设置列表中选择要配置的主或备用自定义服务器。
提供以下配置详细信息：
- 主机：输入上传目的地的主机名或 IP 地址。
- 端口：设置为 514。
- 使用安全连接 (SSL)：设置为关闭。
- 点击确定。
- 点击应用，返回到上传客户端标签页。
对于您要在主日志、即时通讯日志和流式传输日志中使用的每种日志格式，请完成以下步骤：
- 选择日志。
- 将上传客户端分配为自定义客户端。
- 选择 <No Encryption> 和 <No Signing>。
- 将日志文件保存为文本文件。
- 依次点击上传时间表 > 上传类型。
- 选择持续上传访问日志，以流式传输访问日志。
- 点击确定。
点击应用。

UDM 映射表

日志字段	UDM 映射	逻辑
`@timestamp`	`metadata.event_timestamp`	Blue Coat 设备记录的事件时间戳。从 JSON 数据解析。
`application-name`	`target.application`	与网络流量关联的应用的名称。从 JSON 数据解析。
`c-ip`	`principal.asset.ip` `principal.ip`	客户端 IP 地址。从 JSON 数据解析。
`c_ip`	`principal.ip` `principal.asset.ip`	客户端 IP 地址。从各种日志格式解析。
`c_ip_host`	`principal.hostname` `principal.asset.hostname`	客户端主机名（如果有）。从 JSON 数据解析。
`cs-auth-group`	`principal_user_group_identifiers`	客户端身份验证组。从 JSON 数据解析。
`cs-bytes`	`network.sent_bytes`	客户端发送的字节数。从 JSON 数据解析。
`cs-categories`	`security_result.category_details`	Blue Coat 设备为 Web 请求分配的类别。从 JSON 数据解析。
`cs-host`	`target_hostname`	客户端请求的主机名。从 JSON 数据解析。
`cs-icap-error-details`	`security_result.detection_fields`	客户端的 ICAP 错误详细信息。从 JSON 数据解析，键为“cs-icap-error-details”。
`cs-icap-status`	`security_result.description`	客户端的 ICAP 状态。从 JSON 数据解析。
`cs-method`	`network.http.method`	请求中使用的 HTTP 方法。从 JSON 数据解析。
`cs-threat-risk`	`security_result.risk_score`	由 Blue Coat 设备分配的威胁风险得分。从 JSON 数据解析。
`cs-uri-extension`	`cs_uri_extension`	所请求 URI 的扩展名。从 JSON 数据解析。
`cs-uri-path`	`_uri_path`	所请求 URI 的路径。从 JSON 数据解析。
`cs-uri-port`	`cs_uri_port`	所请求 URI 的端口。从 JSON 数据解析。
`cs-uri-query`	`_uri_query`	所请求 URI 的查询字符串。从 JSON 数据解析。
`cs-uri-scheme`	`_uri_scheme`	所请求 URI 的架构（例如，http、https）。从 JSON 数据解析。
`cs-userdn`	`principal_user_userid`	客户用户名。从 JSON 数据解析。
`cs-version`	`cs_version`	客户端使用的 HTTP 版本。从 JSON 数据解析。
`cs(Referer)`	`network.http.referral_url`	引荐来源网址。从 JSON 数据解析。
`cs(User-Agent)`	`network.http.user_agent`	用户代理字符串。从 JSON 数据解析。
`cs(X-Requested-With)`	`security_result.detection_fields`	X-Requested-With 标头的值。从 JSON 数据解析，键为“cs-X-Requested-With”。
`cs_auth_group`	`principal_user_group_identifiers`	客户端身份验证组。从各种日志格式解析。
`cs_bytes`	`network.sent_bytes`	客户端发送的字节数。从各种日志格式解析。
`cs_categories`	`security_result.category_details`	分配给 Web 请求的类别。从各种日志格式解析。
`cs_host`	`target_hostname`	客户端请求的主机名。从各种日志格式解析。
`cs_method`	`network.http.method`	请求中使用的 HTTP 方法。从各种日志格式解析。
`cs_referer`	`network.http.referral_url`	引荐来源网址。从各种日志格式解析。
`cs_threat_risk`	`security_result.risk_score`	由 Blue Coat 设备分配的威胁风险得分。从 KV 日志格式解析。
`cs_uri`	`target.url`	完整的请求 URI。从 KV 日志格式解析。
`cs_uri_extension`	`cs_uri_extension`	所请求 URI 的扩展名。从 KV 日志格式解析。
`cs_uri_path`	`_uri_path`	所请求 URI 的路径。从各种日志格式解析。
`cs_uri_port`	`target_port`	所请求 URI 的端口。从各种日志格式解析。
`cs_uri_query`	`_uri_query`	所请求 URI 的查询字符串。从各种日志格式解析。
`cs_uri_scheme`	`_uri_scheme`	所请求 URI 的架构（例如，http、https）。从各种日志格式解析。
`cs_user`	`principal_user_userid`	客户用户名。从常规日志格式解析。
`cs_user_agent`	`network.http.user_agent`	用户代理字符串。从各种日志格式解析。
`cs_username`	`principal_user_userid`	客户用户名。从各种日志格式解析。
`cs_x_forwarded_for`	`_intermediary.ip`	X-Forwarded-For 标头值。从常规日志格式解析。
`deviceHostname`	`_intermediary.hostname`	Blue Coat 设备的主机名。从 KV 日志格式解析。
`dst`	`ip_target`	目的地 IP 地址。从 KV 日志格式解析。
`dst_ip`	`ip_target`	目的地 IP 地址。从 SSL 日志格式解析。
`dst_user`	`target.user.userid`	目标用户 ID。从代理反向日志格式解析。
`dstport`	`target_port`	目标端口。从 KV 日志格式解析。
`dstport`	`target.port`	目标端口。从 SSL 日志格式解析。
`exception-id`	`_block_reason`	异常 ID，表示请求被阻止。从 KV 日志格式解析。
`filter-category`	`_categories`	触发事件的过滤器的类别。从 KV 日志格式解析。
`filter-result`	`_policy_action`	应用于请求的过滤器的结果。从 KV 日志格式解析。
`hostname`	`principal.hostname` `principal.asset.hostname`	生成日志的设备的主机名。从 SSL 和常规日志格式解析。
`isolation-url`	`isolation-url`	与隔离相关的网址（如适用）。从 JSON 数据解析。
`ma-detonated`	`ma-detonated`	恶意软件引爆状态。从 JSON 数据解析。
`page-views`	`page-views`	网页浏览次数。从 JSON 数据解析。
`r-ip`	`ip_target`	远程 IP 地址。从 JSON 数据解析。
`r-supplier-country`	`r-supplier-country`	远程供应商所在的国家/地区。从 JSON 数据解析。
`r_dns`	`target_hostname`	远程 DNS 名称。从 JSON 数据解析。
`r_ip`	`ip_target`	远程 IP 地址。从各种日志格式解析。
`r_port`	`target_port`	远程端口。从 JSON 数据解析。
`risk-groups`	`security_result.detection_fields`	与活动关联的风险组。从 JSON 数据解析，键为“risk-groups”。
`rs-icap-error-details`	`security_result.detection_fields`	来自远程服务器端的 ICAP 错误详细信息。从 JSON 数据解析，键为“rs-icap-error-details”。
`rs-icap-status`	`rs-icap-status`	来自远程服务器端的 ICAP 状态。从 JSON 数据解析。
`rs(Content-Type)`	`target.file.mime_type`	远程服务器返回的响应的内容类型。从 KV 日志格式解析。
`rs_content_type`	`target.file.mime_type`	远程服务器返回的响应的内容类型。从各种日志格式解析。
`rs_server`	`rs_server`	远程服务器信息。从 JSON 数据解析。
`rs_status`	`_network.http.response_code`	来自远程服务器的响应状态代码。从 JSON 数据解析。
`r_supplier_country`	`intermediary.location.country_or_region`	远程供应商所在的国家/地区。从常规日志格式解析。
`r_supplier_ip`	`intermediary.ip`	远程供应商的 IP 地址。从常规日志格式解析。
`s-action`	`_metadata.product_event_type`	代理采取的操作。从 KV 日志格式解析。
`s-ip`	`_intermediary.ip`	服务器 IP 地址。从 KV 日志格式解析。
`s-source-ip`	`_intermediary.ip`	服务器的源 IP 地址。从 JSON 数据解析。
`s_action`	`_metadata.product_event_type`	代理采取的操作。从各种日志格式解析。
`s_ip`	`target.ip` `target.asset.ip`	服务器 IP 地址。从各种日志格式解析。
`s_ip_host`	`_intermediary.hostname`	服务器主机名。从 JSON 数据解析。
`s-supplier-country`	`intermediary.location.country_or_region`	提供方服务器所在的国家/地区。从 JSON 数据解析。
`s-supplier-failures`	`security_result.detection_fields`	供应商故障。从 JSON 数据解析，键为“s-supplier-failures”。
`s-supplier-ip`	`_intermediary.ip`	供应商服务器 IP 地址。从 JSON 数据解析。
`s_supplier_ip`	`intermediary.ip`	供应商服务器 IP 地址。从 JSON 数据解析。
`s_supplier_name`	`_intermediary.hostname`	供应商服务器名称。从常规日志格式解析。
`sc-bytes`	`network.received_bytes`	服务器接收的字节数。从 KV 日志格式解析。
`sc-filter-result`	`_policy_action`	从服务器端过滤结果。从 KV 日志格式解析。
`sc-status`	`_network.http.response_code`	服务器返回的状态代码。从 KV 日志格式解析。
`sc_bytes`	`network.received_bytes`	服务器接收的字节数。从各种日志格式解析。
`sc_connection`	`sc_connection`	服务器连接信息。从常规日志格式解析。
`sc_filter_result`	`_policy_action`	从服务器端过滤结果。从各种日志格式解析。
`sc_status`	`_network.http.response_code`	服务器返回的状态代码。从各种日志格式解析。
`search_query`	`target.resource.attribute.labels`	网址中包含的搜索查询（如果有）。从 `target_url` 中提取，键为“search_query”。
`session_id`	`network.session_id`	会话 ID。从代理反向日志格式解析。
`src`	`ip_principal`	来源 IP 地址。从 KV 日志格式解析。
`src_hostname`	`principal.hostname` `principal.asset.hostname`	来源主机名。从常规日志格式解析。
`src_ip`	`ip_principal`	来源 IP 地址。从 SSL 日志格式解析。
`srcport`	`principal_port`	来源端口。从 KV 日志格式解析。
`src_port`	`principal.port`	来源端口。从 SSL 日志格式解析。
`s_source_port`	`intermediary.port`	服务器的来源端口。从常规日志格式解析。
`summary`	`security_result.summary`	安全结果摘要。从代理反向和 SSL 日志格式解析。
`syslogtimestamp`	`syslogtimestamp`	Syslog 时间戳。从 KV 日志格式解析。
`target_application`	`target.application`	请求所针对的应用。派生自 `x_bluecoat_application_name` 或 `application-name`。
`target_hostname`	`target.hostname` `target.asset.hostname`	目标主机名。派生自 `r_dns`、`cs-host` 或其他字段，具体取决于日志格式。
`target_port`	`target.port`	目标端口。派生自 `r_port`、`cs_uri_port` 或 `dstport`，具体取决于日志格式。
`target_sip`	`target.ip` `target.asset.ip`	目标服务器 IP 地址。从常规日志格式解析。
`target_url`	`target.url`	目标网址。派生自 `target_hostname`、`_uri_path` 和 `_uri_query` 或 `cs_uri`。
`time-taken`	`network.session_duration`	会话或请求的时长。从 KV 日志格式解析并转换为秒和纳秒。
`time_taken`	`network.session_duration`	会话或请求的时长。从各种日志格式解析，并转换为秒和纳秒。
`tls_version`	`network.tls.version`	连接中使用的 TLS 版本。从 SSL 日志格式解析。
`upload-source`	`upload-source`	上传的来源。从 JSON 数据解析。
`username`	`principal_user_userid`	即用户名。从 KV 日志格式解析。
`verdict`	`security_result.detection_fields`	安全分析的判定结果。从 JSON 数据解析，键为“verdict”。
`wf-env`	`wf_env`	Web 过滤服务的环境。从 JSON 数据解析。
`wf_id`	`security_result.detection_fields`	网络过滤 ID。从 JSON 数据解析，键为“wf_id”。
`wrong_cs_host`	`principal.hostname` `principal.asset.hostname`	错误解析的客户端主机名，如果不是 IP 地址，则用作主账号主机名。从常规日志格式解析。
`x-bluecoat-access-type`	`x-bluecoat-access-type`	访问权限类型。从 JSON 数据解析。
`x-bluecoat-appliance-name`	`intermediary.application`	Blue Coat 设备的名称。从 JSON 数据解析。
`x-bluecoat-application-name`	`target_application`	应用的名称。从 JSON 数据解析。
`x-bluecoat-application-operation`	`x_bluecoat_application_operation`	应用操作。从 JSON 数据解析。
`x-bluecoat-location-id`	`x-bluecoat-location-id`	地理位置 ID。从 JSON 数据解析。
`x-bluecoat-location-name`	`x-bluecoat-location-name`	营业地点名称。从 JSON 数据解析。
`x-bluecoat-placeholder`	`security_result.detection_fields`	占位信息。从 JSON 数据解析，键为“x-bluecoat-placeholder”。
`x-bluecoat-reference-id`	`security_result.detection_fields`	参考 ID。从 JSON 数据解析，键为“x-bluecoat-reference-id”。
`x-bluecoat-request-tenant-id`	`x-bluecoat-request-tenant-id`	相应请求的租户 ID。从 JSON 数据解析。
`x-bluecoat-transaction-uuid`	`metadata.product_log_id`	交易 UUID。从 JSON 数据解析。
`x-client-agent-sw`	`software.name`	客户端代理软件。从 JSON 数据解析并合并到 `principal.asset.software` 中。
`x-client-agent-type`	`principal.application`	客户端代理类型。从 JSON 数据解析。
`x-client-device-id`	`principal.resource.product_object_id`	客户端设备 ID。从 JSON 数据解析。
`x-client-device-name`	`x-client-device-name`	客户端设备名称。从 JSON 数据解析。
`x-client-device-type`	`x-client-device-type`	客户端设备类型。从 JSON 数据解析。
`x-client-os`	`principal.asset.platform_software.platform`	客户端操作系统。从 JSON 数据解析。如果包含“Windows”，则将平台设置为 WINDOWS。
`x-client-security-posture-details`	`x-client-security-posture-details`	客户端安全状况详情。从 JSON 数据解析。
`x-client-security-posture-risk-score`	`security_result.detection_fields`	客户安全状况风险评分。从 JSON 数据解析，键为“x-client-security-posture-risk-score”。
`x-cloud-rs`	`security_result.detection_fields`	与云相关的远程服务器信息。从 JSON 数据解析，键为“x-cloud-rs”。
`x-cs-certificate-subject`	`x_cs_certificate_subject`	客户端的证书主题。从 JSON 数据解析。
`x-cs-client-ip-country`	`x-cs-client-ip-country`	客户端 IP 所在的国家/地区。从 JSON 数据解析。
`x-cs-connection-negotiated-cipher`	`network.tls.cipher`	从客户端协商的加密方式。从 JSON 数据解析。
`x-cs-connection-negotiated-cipher-size`	`security_result.detection_fields`	从客户端协商的加密大小。从 JSON 数据解析，键为“x-cs-connection-negotiated-cipher-size”。
`x-cs-connection-negotiated-ssl-version`	`network.tls.version_protocol`	从客户端协商的 SSL 版本。从 JSON 数据解析。
`x-cs-ocsp-error`	`security_result.detection_fields`	客户端的 OCSP 错误。从 JSON 数据解析，键为“x-cs-ocsp-error”。
`x-cs(referer)-uri-categories`	`x-cs(referer)-uri-categories`	客户端的引荐来源网址类别。从 JSON 数据解析。
`x-data-leak-detected`	`security_result.detection_fields`	数据泄露检测状态。从 JSON 数据解析，键为“x-data-leak-detected”。
`x-exception-id`	`x_exception_id`	异常 ID。从 JSON 数据解析。
`x-http-connect-host`	`x-http-connect-host`	HTTP 连接主机。从 JSON 数据解析。
`x-http-connect-port`	`x-http-connect-port`	HTTP 连接端口。从 JSON 数据解析。
`x-icap-reqmod-header(x-icap-metadata)`	`x_icap_reqmod_header`	包含元数据的 ICAP 请求修改标头。从 JSON 数据解析。
`x-icap-respmod-header(x-icap-metadata)`	`x_icap_respmod_header`	包含元数据的 ICAP 响应修改标头。从 JSON 数据解析。
`x-rs-certificate-hostname`	`network.tls.client.server_name`	来自远程服务器端的证书主机名。从 JSON 数据解析。
`x-rs-certificate-hostname-categories`	`x_rs_certificate_hostname_category`	来自远程服务器端的证书主机名类别。从 JSON 数据解析。
`x-rs-certificate-hostname-category`	`x_rs_certificate_hostname_category`	来自远程服务器端的证书主机名类别。从 JSON 数据解析。
`x-rs-certificate-hostname-threat-risk`	`security_result.detection_fields`	来自远程服务器端的证书主机名威胁风险。从 JSON 数据解析，键为“x-rs-certificate-hostname-threat-risk”。
`x-rs-certificate-observed-errors`	`x_rs_certificate_observed_errors`	从远程服务器端观察到的证书错误。从 JSON 数据解析。
`x-rs-certificate-validate-status`	`network.tls.server.certificate.subject`	来自远程服务器端的证书验证状态。从 JSON 数据解析。
`x-rs-connection-negotiated-cipher`	`x_rs_connection_negotiated_cipher`	从远程服务器端协商的加密算法。从 JSON 数据解析。
`x-rs-connection-negotiated-cipher-size`	`security_result.detection_fields`	从远程服务器端协商的加密算法大小。从 JSON 数据解析，键为“x-rs-connection-negotiated-cipher-size”。
`x-rs-connection-negotiated-cipher-strength`	`x_rs_connection_negotiated_cipher_strength`	从远程服务器端协商的加密强度。从 JSON 数据解析。
`x-rs-connection-negotiated-ssl-version`	`x_rs_connection_negotiated_ssl_version`	从远程服务器端协商的 SSL 版本。从 JSON 数据解析。
`x-rs-ocsp-error`	`x_rs_ocsp_error`	远程服务器端的 OCSP 错误。从 JSON 数据解析。
`x-sc-connection-issuer-keyring`	`security_result.detection_fields`	连接签发者密钥环。从 JSON 数据解析，键为“x-sc-connection-issuer-keyring”。
`x-sc-connection-issuer-keyring-alias`	`x-sc-connection-issuer-keyring-alias`	连接发行方密钥环别名。从 JSON 数据解析。
`x-sr-vpop-country`	`principal.location.country_or_region`	VPOP 国家/地区。从 JSON 数据解析。
`x-sr-vpop-country-code`	`principal.location.country_or_region`	VPOP 国家/地区代码。从 JSON 数据解析。
`x-sr-vpop-ip`	`principal.ip` `principal.asset.ip`	VPOP IP 地址。从 JSON 数据解析。
`x-symc-dei-app`	`x-symc-dei-app`	Symantec DEI 应用。从 JSON 数据解析。
`x-symc-dei-via`	`security_result.detection_fields`	Symantec DEI via. 从 JSON 数据解析，键为“x-symc-dei-via”。
`x-tenant-id`	`security_result.detection_fields`	租户 ID。从 JSON 数据解析，键为“x-tenant-id”。
`x-timestamp-unix`	`x-timestamp-unix`	Unix 时间戳。从 JSON 数据解析。
`x_bluecoat_application_name`	`target_application`	应用名称。从各种日志格式解析。
`x_bluecoat_application_operation`	`x_bluecoat_application_operation`	应用操作。从各种日志格式解析。
`x_bluecoat_transaction_uuid`	`metadata.product_log_id`	交易 UUID。从各种日志格式解析。
`x_cs_certificate_subject`	`x_cs_certificate_subject`	客户端证书主题。从常规日志格式解析。
`x_cs_client_effective_ip`	`ip_principal`	客户的有效 IP 地址。从常规日志格式解析。
`x_cs_connection_negotiated_cipher`	`network.tls.cipher`	客户端协商的加密方式。从常规日志格式解析。
`x_cs_connection_negotiated_ssl_version`	`network.tls.version_protocol`	客户端协商的 SSL 版本。从常规日志格式解析。
`x_exception_id`	`_block_reason`	异常 ID。从各种日志格式解析。
`x_icap_reqmod_header`	`x_icap_reqmod_header`	ICAP 请求修改标头。从常规日志格式解析。
`x_icap_respmod_header`	`x_icap_respmod_header`	ICAP 响应修改标头。从常规日志格式解析。
`x_rs_certificate_hostname`	`network.tls.client.server_name`	远程服务器证书主机名。从常规日志格式解析。
`x_rs_certificate_hostname_category`	`x_rs_certificate_hostname_category`	远程服务器证书主机名类别。从常规日志格式解析。
`x_rs_certificate_observed_errors`	`x_rs_certificate_observed_errors`	远程服务器证书存在错误。从常规日志格式解析。
`x_rs_certificate_validate_status`	`network.tls.server.certificate.subject`	远程服务器证书验证状态。从各种日志格式解析。
`x_rs_connection_negotiated_cipher_strength`	`x_rs_connection_negotiated_cipher_strength`	远程服务器协商的加密强度。从常规日志格式解析。
`x_rs_connection_negotiated_ssl_version`	`x_rs_connection_negotiated_ssl_version`	远程服务器协商的 SSL 版本。从常规日志格式解析。
`x_virus_id`	`security_result.detection_fields`	病毒 ID。从各种日志格式解析而来，键为“x-virus-id”。

派生字段（来自解析器逻辑）：

metadata.event_type：根据一组复杂的条件确定，这些条件涉及 network.application_protocol、network.http.method、principal.*、target.* 和 dst_user 等字段。
metadata.vendor_name：静态值：Blue Coat Systems。
metadata.product_name：静态值：ProxySG。
metadata.log_type：静态值：BLUECOAT_WEBPROXY。
principal.asset.platform_software.platform：如果 x-client-os 包含 Windows，则设置为 WINDOWS。
network.application_protocol：使用基于 _uri_scheme 或 target.port 的查询表确定。默认值为 UNKNOWN_APPLICATION_PROTOCOL。
network.ip_protocol：使用基于 _uri_scheme 的查询表确定。默认值为 UNKNOWN_IP_PROTOCOL。
security_result.action：根据 _policy_action 确定（OBSERVED -> ALLOW，DENIED -> BLOCK）。
security_result.about.labels：包含从各种字段（例如 rs_server、communication_type）以及 SSL 日志格式中的状态派生的标签。
security_result.detection_fields：包含从 x_virus_id、x_rs_certificate_observed_errors、x_rs_connection_negotiated_cipher_strength 等字段派生的各种键值对。
vulns.vulnerabilities：如果存在，则从 proxy_reverse_info 字段填充，包含 cve_id 和 about.labels 等漏洞信息。