收集 Cisco ISE 日志

支持的语言:

本文档介绍了如何使用 Google Security Operations 转送器收集 Cisco Identify Services Engine (ISE) 日志。

如需了解详情,请参阅将数据注入 Google Security Operations

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CISCO_ISE 注入标签的解析器。

配置 Cisco ISE

  1. 使用管理员凭据登录 Cisco ISE 控制台。
  2. 在 Cisco ISE 控制台中,依次选择管理 > 系统 > 日志记录 > 远程日志记录目标
  3. 远程日志记录目标窗口中,点击添加。系统随即会显示新建日志记录目标窗口。

  4. 日志记录目标部分中,为以下字段指定值:

    字段 说明
    名称 Google Security Operations 转发器的名称。
    说明 Google Security Operations 转发器的说明。
    类型 远程日志目标的类型,例如 syslog。
    IP 地址 Google Security Operations 转发器的 IP 地址。
    目标类型 选择 TCP syslog 或 UDP syslog。
    端口 使用高端口,例如 10514。
    设施代码 您可以指定以下某个值:

    • LOCAL0(代码 = 16)
    • LOCAL1(代码 = 17)
    • LOCAL2(代码 = 18)
    • LOCAL3(代码 = 19)
    • LOCAL4(代码 = 20)
    • LOCAL5(代码 = 21)
    • LOCAL6(代码 = 22;默认)
    • LOCAL7(代码 = 23)
    密码长度上限 建议值为 1,024。

  5. 点击提交。系统会显示“远程日志目标”窗口,其中包含新的 Google Security Operations 转发器配置。

  6. 在 Cisco ISE 控制台中,依次选择 Administration(管理)> System(系统)> Logging(日志记录)> Logging categories(日志记录类别)。

  7. 日志记录类别窗口中,选择要为其设置远程 syslog 目标的类别,然后添加远程 syslog 目标。

    以下是示例类别:AAA 审核、AAA 诊断、会计、管理和运营审核、姿态和客户端配置审核、姿态和客户端配置诊断、分析器、系统诊断和系统统计信息。

配置 Google Security Operations 转发器和 syslog 以注入 Cisco Secure ACS 日志

  1. 依次前往 SIEM 设置 > 转发器
  2. 点击添加新转发器
  3. Forwarder Name(转发器名称)字段中,输入转发器的唯一名称。
  4. 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
  5. 收集器名称字段中,输入一个名称。
  6. 选择 Cisco ISE 作为日志类型
  7. 选择 Syslog 作为收集器类型
  8. 配置以下必需的输入参数:
    • 协议:指定协议。
    • 地址:指定收集器所在的 syslog 数据目标 IP 地址或主机名。
    • 端口:指定收集器所在的并监听 syslog 数据的目标端口。
  9. 点击提交

如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。 如需了解每种转发器类型的要求,请参阅按类型划分的转发器配置。 如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系

字段映射参考

此解析器从 syslog 消息中提取 Cisco ISE 日志,将数据标准化为 UDM 格式,并使用其他上下文信息丰富事件。它可处理各种 ISE 日志类别,包括身份验证成功和失败、管理审核、系统统计信息等,将相关字段映射到 UDM 架构,并添加特定标签以进行详细分析。

UDM 映射表

日志字段 UDM 映射 逻辑
Acct-Authentic sec_result.detection_fields.value 直接映射。
Acct-Delay-Time sec_result.detection_fields.value 直接映射。
Acct-Input-Octets sec_result.detection_fields.value 直接映射。
Acct-Input-Packets sec_result.detection_fields.value 直接映射。
Acct-Output-Octets sec_result.detection_fields.value 直接映射。
Acct-Output-Packets sec_result.detection_fields.value 直接映射。
Acct-Session-Id sec_result.detection_fields.value 直接映射。
Acct-Session-Time sec_result.detection_fields.value 直接映射。
Acct-Status-Type sec_result.detection_fields.value 直接映射。
Acct-Terminate-Cause sec_result.detection_fields.value 直接映射。
AcsSessionID sec_result.detection_fields.value 直接映射为“Acs SessionID”。
AD-Account-Name principal.user.userid 直接映射。
AD-Domain principal.group.group_display_name 直接映射。
AD-Domain-Controller target.administrative_domain 直接映射。
AD-Error-Details sec_result.description 直接映射。
AD-Host-Candidate-Identities sec_result.detection_fields.value 直接映射。
AD-IP-Address target.iptarget.asset.ip 直接映射。
AD-Log-Id sec_result.detection_fields.value 直接映射为“AD-Log-Id”。
AD-Operating-System principal.asset.platform_software.platform_version 直接映射为 ad_operating_system。如果包含“Windows”,则将 principal.platform 设置为“WINDOWS”。
AD-Site target.location.name 直接映射。
AD-Srv-Query sec_result.detection_fields.value 直接映射为“AD-Srv-Query”。
AD-Srv-Record sec_result.detection_fields.value 直接映射为“AD-Srv-Record”。
AD-User-Resolved-Identities sec_result.detection_fields.value 直接映射。
AD-User-SamAccount-Name principal.user.attribute.labels.value 直接映射。
AdminIPAddress principal.ipprincipal.asset.ip 直接映射。
AdminInterface principal.user.attribute.labels.value 直接映射为“管理界面”。
AdminName principal.user.userid 直接映射。还添加了类型为“ADMINISTRATOR”的 user.attribute.roles
AuthenticationIdentityStore sec_result.detection_fields.value 直接映射为“身份验证身份存储区”。
AuthenticationStatus sec_result.action_details 直接映射。如果值与“AuthenticationPassed”匹配,则将 sec_result.action 设置为“ALLOW”,否则设置为“BLOCK”。
AuthorizationPolicyMatchedRule sec_result.rule_name 映射到前缀“AuthorizationPolicyMatchedRule : ”。
BYODRegistration sec_result.detection_fields.value 直接映射。
Called-Station-ID sec_result.detection_fields.value 直接映射。
Calling-Station-ID sec_result.detection_fields.valueprincipal.ipprincipal.asset.ip 直接映射。如果是 IP 地址,则还会映射到 principal.ipprincipal.asset.ip
cdpCachePlatform principal.asset.hardware.model 直接映射。
Class sec_result.detection_fields.value 直接映射。
ClientLatency sec_result.detection_fields.value 直接映射。
CmdSet target.process.command_line 在移除周围的方括号和空格后直接映射。
ConfigVersionId sec_result.detection_fields.value 直接映射为“配置版本 ID”。
ConnectionStatus sec_result.detection_fields.value 直接映射为“连接状态”。
CPMSessionID sec_result.detection_fields.value 直接映射。
CreateTime principal.asset.attribute.creation_time 解析为 UNIX_MS 时间戳。
DetailedInfo sec_result.description 在移除反斜杠后直接映射。
DestinationIPAddress target.iptarget.asset.ip 直接映射。将 has_target 设置为“true”。
DestinationPort target.port 如果为数字,则直接映射。
Device IP Address principal.ipprincipal.asset.ip_intermediary.iptarget.iptarget.asset.ip 映射为 DeviceIPAddress。用于各种逻辑,以根据日志类别和其他字段填充 principal.ip_intermediary.iptarget.ip
Device Port principal.port_intermediary.porttarget.port 映射为 DevicePort。用于各种逻辑,以根据日志类别和其他字段填充 principal.port_intermediary.porttarget.port
Device Type principal.asset.hardware.model 直接映射为 device-type
DTLSSupport sec_result.detection_fields.value 直接映射。
EndPointMACAddress principal.asset.mac 在转换为小写并将连字符替换为英文冒号后直接映射。
EndPointMatchedProfile sec_result.about.labels.value 直接映射。
EndpointCertainityMetric sec_result.detection_fields.value 直接映射为“端点确定性指标”。
EndpointIdentityGroup principal.group.group_display_name 直接映射。
EndpointIPAddress principal.asset.ip 直接映射。
EndpointNADAddress sec_result.detection_fields.value 直接映射为“端点 NAD 地址”。
EndpointOUI sec_result.detection_fields.value 直接映射为“端点 OUI”。
EndpointPolicy principal.asset.platform_software.platform_version 直接映射。
EndpointProperty sec_result.detection_fields.value 直接映射为“端点属性”。
EndpointSourceEvent sec_result.detection_fields.value 直接映射。
EndpointUserAgent network.http.user_agent 直接映射。
EndPointVersion sec_result.detection_fields.value 直接映射。
FailureReason sec_result.detection_fields.valuesec_result.summarysec_result.description 映射为 FailureReason。用于根据上下文填充 sec_result.detection_fields(作为“失败原因”)、sec_result.summarysec_result.description
FirstCollection principal.asset.first_discover_time 解析为 UNIX_MS 时间戳。
Framed-IP-Address sec_result.detection_fields.value 直接映射。
Framed-IPv6-Address FramedIPAddress 直接映射。
Framed-Protocol sec_result.detection_fields.value 直接映射。
IdentityGroup principal.group.group_display_name 直接映射。
IdentityGroupID principal.group.product_object_id 直接映射。
IdentityPolicyMatchedRule sec_result.about.labels.value 直接映射。
IdentitySelectionMatchedRule sec_result.detection_fields.value 直接映射。
IMEI target.asset.product_object_id 直接映射。
ISELocalAddress _intermediary.ipprincipal.ipprincipal.asset.ip_intermediary.portprincipal.portsec_result.detection_fields.value 如果为 CISE_Administrative_and_Operational_Audit,则提取 IP 和端口并将其映射到 _intermediaryprincipal。否则,直接映射为“ISE Local Address”到 sec_result.detection_fields
ISEModuleName sec_result.detection_fields.value 直接映射为“ISE 模块名称”。
ISEServiceName sec_result.detection_fields.value 直接映射为“ISE 服务名称”。
IsThirdPartyDeviceFlow sec_result.detection_fields.value 直接映射。
Issuer about.labels.value 直接映射。
LastActivity principal.asset.last_discover_time 解析为 UNIX_MS 时间戳。
LastNmapScanTime sec_result.detection_fields.value 直接映射。
lldpChassisId target.mac 在解析为 MAC 地址后直接映射。
lldpSystemName target.hostnametarget.asset.hostname 直接映射。
Location principal.location.country_or_regiontarget.location.country_or_region 直接映射到 principaltarget 位置,具体取决于日志类别。
Manufacturer target.asset.hardware.manufacturer 直接映射。
MessageCode sec_result.detection_fields.valuemetadata.event_type 直接映射为 msg_code。用于逻辑中以确定 metadata.event_type
Model target.asset.hardware.model 直接映射。
NAS-IP-Address principal.nat_ip 直接映射。
NAS-Identifier principal.labels.value 直接映射为 nas_identifier
NAS-Port principal.nat_portsec_result.detection_fields.valueprincipal.labels.value 映射为 NASPort。如果为数字且小于 2147483648,则映射到 principal.nat_port。否则,映射为字符串,sec_result.detection_fields 为“NAS Port”,principal.labels 为“NAS-Port”。
NAS-Port-Id principal.labels.valuesec_result.detection_fields.value 映射为 NASPortId。用于将 principal.labels 填充为“nas_port_id”或将 sec_result.detection_fields 填充为“nas_port_id”。
NAS-Port-Type principal.labels.valuesec_result.detection_fields.value 映射为 NASPortType。用于将 principal.labels 填充为“nas_port_type”或将 sec_result.detection_fields 填充为“Nas-Port-Type”。
NetworkDeviceGroups sec_result.detection_fields.value 直接映射。
NetworkDeviceName _intermediary.hostnameprincipal.hostnameprincipal.asset.hostnametarget.hostnametarget.asset.hostname 映射为 NetworkDeviceName。用于各种逻辑,以根据日志类别和其他字段填充 _intermediary.hostnameprincipal.hostnametarget.hostname
NetworkDeviceProfileId principal.asset.asset_id 已映射,前缀为“Cisco_ISE:”。
NetworkDeviceProfileName principal.asset.attribute.labels.value 直接映射。
ObjectName sec_result.about.labels.value 直接映射。
ObjectType sec_result.about.labels.value 直接映射。
OperatingSystem target.asset.platform_software.platform_versionprincipal.asset.platform_software.platform_versionprincipal.platform 映射为 OperatingSystem。用于填充 target.asset.platform_software.platform_versionprincipal.asset.platform_software.platform_version。如果包含“Win”,则将 principal.platform 设置为“WINDOWS”。如果包含“lin”,则将 principal.platform 设置为“LINUX”。如果包含“iOS”,则将 principal.platform 设置为“MAC”。
OperationMessageText sec_result.detection_fields.valueabout.labels.valuesec_result.summary 映射为 OperationMessageText。用于根据上下文将 sec_result.detection_fields 填充为“操作消息文本”,将 about.labels 填充为“操作消息文本”,或填充为 sec_result.summary。如果其中包含连接详细信息,系统会提取这些信息并将其映射到 srctarget
OriginalUserName principal.user.userid 直接映射为 User
PeerAddress target.mac 在转换为小写并将连字符替换为英文冒号后直接映射。
PeerName target.hostnametarget.asset.hostname 系统会提取 IP 和主机名,并将其映射到 target.iptarget.hostname
PhoneID principal.user.phone_numbers 直接映射为 User-Fetch-Telephone
PhoneNumber principal.user.phone_numbers 直接映射。
PolicyVersion sec_result.detection_fields.value 直接映射。
Port _intermediary.portprincipal.porttarget.port 映射为 Port。用于各种逻辑,以根据日志类别和其他字段填充 _intermediary.portprincipal.porttarget.port
PostureAssessmentStatus sec_result.detection_fields.value 直接映射。
PostureExpiry sec_result.detection_fields.value 直接映射。
PostureStatus sec_result.detection_fields.value 直接映射为“姿势状态”。
ProfilerServer sec_result.detection_fields.value 直接映射。
Protocol sec_result.detection_fields.value 直接映射。
r_cat_name metadata.product_event_type 直接映射。
r_ip_or_host observer.ipobserver.hostnameprincipal.ipprincipal.asset.ipprincipal.hostnameprincipal.asset.hostnametarget.iptarget.asset.iptarget.hostnametarget.asset.hostname 如果为 IP,则映射到 observer.ip。如果为 hostname,则映射到 observer.hostname。还用于各种逻辑,以根据日志类别和其他字段填充 principaltarget IP/主机名。
r_msg_id sec_result.detection_fields.valuemetadata.product_log_id 直接映射为“r_msg_id”。如果 sequence_num 不可用,则也用作 metadata.product_log_id
r_seg_num sec_result.detection_fields.valuemetadata.product_log_id 直接映射为“r_seg_num”。如果 sequence_num 不可用,则也用作 metadata.product_log_id
r_total_seg sec_result.detection_fields.value 直接映射。
RadiusFlowType sec_result.detection_fields.value 直接映射。
RadiusPacketType sec_result.detection_fields.value 直接映射为“Radius Packet Type”。
RegisterStatus sec_result.rule_name 直接映射。
RequestLatency sec_result.detection_fields.value 直接映射为“请求延迟时间”。
SelectedAccessService sec_result.detection_fields.value 直接映射为“所选访问服务”。
SelectedAuthorizationProfiles sec_result.detection_fields.value 直接映射。
Serial Number network.tls.server.certificate.serialabout.labels.value 映射为 serial_number。用于根据上下文将 network.tls.server.certificate.serialabout.labels 填充为“序列号”。
Service-Type sec_result.detection_fields.value 直接映射。
SessionId network.session_id 直接映射。
ShutdownReason sec_result.detection_fields.value 直接映射为“ShutdownReason”。
SSID sec_result.detection_fields.value 直接映射。
StaticGroupAssignment sec_result.detection_fields.value 直接映射。
Subject about.labels.value 直接映射。
Subject Alternative Name about.labels.value 直接映射为“主题备用名称”。
SysStatsCpuCount target.asset.hardware.cpu_number_cores 直接映射。
SysStatsProcessMemoryMB target.asset.hardware.ram 直接映射为 __hardware.ram
SysStatsUtilizationNetwork target.resource.namenetwork.sent_bytesnetwork.received_bytes 提取并映射网络适配器名称、发送的字节数和接收的字节数。target.resource.resource_type 设置为“UNSPECIFIED”。
TimeToProfile sec_result.detection_fields.value 直接映射。
Total Certainty Factor sec_result.detection_fields.value 直接映射。
TotalFailedTime sec_result.detection_fields.value 直接映射。
Tunnel-Client-Endpoint sec_result.detection_fields.value 直接映射为“隧道客户端端点”。
UniqueConnectionIdentifier sec_result.detection_fields.value 直接映射为“唯一连接标识符”。
UpdateTime sec_result.detection_fields.value 直接映射。
User principal.user.userid 直接映射。
User-Fetch-Email sec_result.detection_fields.value 直接映射。
User-Fetch-Last-Name principal.user.last_name 直接映射。
User-Fetch-LocalityName sec_result.detection_fields.value 直接映射。
User-Fetch-StateOrProvinceName sec_result.detection_fields.value 直接映射。
User-Fetch-Telephone principal.user.phone_numbers 直接映射为 PhoneID
UserName principal.user.userid 直接映射。如果不为空,且不为 "" 或 "unknown",则会转换为小写,连字符会替换为英文冒号,并且如果与 MAC 地址模式匹配,还会映射到 principal.mac
User-Name principal.user.userid 直接映射。
UserType principal.user.attribute.labels.value 直接映射。
(解析器逻辑)action sec_result.action 如果 msg_text 包含成功关键字,则设置为“ALLOW”;如果包含失败关键字,则设置为“BLOCK”;否则设置为“UNKNOWN_ACTION”。
(解析器逻辑)about.hostname about.hostname 派生自 StepData=4stepdata
(解析器逻辑)event.idm.read_only_udm.about event.idm.read_only_udm.about 填充了各种字段,例如 about.hostnameabout.applicationabout.process.pid
(解析器逻辑)event.idm.read_only_udm.extensions.auth.mechanism event.idm.read_only_udm.extensions.auth.mechanism CISE_TACACS_Diagnostics 类别中的某些情况下,设置为“NETWORK”。
(解析器逻辑)event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type 对于各种登录/退出事件,设置为“MACHINE”;对于某些 TACACS 事件,设置为“TACACS”;对于其他登录事件,设置为“AUTHTYPE_UNSPECIFIED”。
(解析器逻辑)event.idm.read_only_udm.metadata.collected_timestamp event.idm.read_only_udm.metadata.collected_timestamp 如果可用,则从 logstash.process.timestamp 中解析。
(解析器逻辑)event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description msg_classmsg_text 构建,如果 msg_class 不可用,则仅由 msg_text 构建。
(解析器逻辑)event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp datetime 字段解析,该字段派生自 datetimetimezoner_datetime
(解析器逻辑)event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type 根据 r_cat_namemsg_code 和其他字段确定。可以是 GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW。
(解析器逻辑)event.idm.read_only_udm.metadata.ingested_timestamp event.idm.read_only_udm.metadata.ingested_timestamp 如果可用,则从 logstash.ingest.timestamp 中解析。
(解析器逻辑)event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type 设置为“CISCO_ISE”。
(解析器逻辑)event.idm.read_only_udm.metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type 派生自 r_cat_name
(解析器逻辑)event.idm.read_only_udm.metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id 派生自 sequence_numr_seg_numr_msg_id,具体取决于可用性。
(解析器逻辑)event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name 设置为“ISE”,或设置为 MDMServerName(如果可用)。
(解析器逻辑)event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name 设置为“Cisco”。
(解析器逻辑)event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent 派生自 ac-user-agentEndpointUserAgent
(解析器逻辑)event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol 对于某些事件类型,设置为“TCP”。
(解析器逻辑)event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id 派生自 SessionId
(解析器逻辑)event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher 派生自 TLSCipher
(解析器逻辑)event.idm.read_only_udm.network.tls.server.certificate.serial event.idm.read_only_udm.network.tls.server.certificate.serial 派生自 Serial Number
(解析器逻辑)event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version 派生自 TLSVersion
(解析器逻辑)event.idm.read_only_udm.principal.asset.asset_id event.idm.read_only_udm.principal.asset.asset_id 派生自 NetworkDeviceProfileId,前缀为“Cisco_ISE:”。
(解析器逻辑)event.idm.read_only_udm.principal.asset.hardware event.idm.read_only_udm.principal.asset.hardware 使用 hardware.manufacturerhardware.model 等字段填充。
(解析器逻辑)event.idm.read_only_udm.principal.asset.ip event.idm.read_only_udm.principal.asset.ip 根据日志类别和其他字段派生自各种 IP 地址字段。
(解析器逻辑)event.idm.read_only_udm.principal.asset.mac event.idm.read_only_udm.principal.asset.mac EndpointMacAddressparsed_endpoint_mac 或其他 MAC 地址字段派生而来,并经过适当的格式设置。
(解析器逻辑)event.idm.read_only_udm.principal.asset.platform_software.platform_version event.idm.read_only_udm.principal.asset.platform_software.platform_version 派生自 OperatingSystemEndpointPolicyad_operating_system
(解析器逻辑)event.idm.read_only_udm.principal.group.group_display_name event.idm.read_only_udm.principal.group.group_display_name 派生自 AD-DomainIdentityGroupEndpointIdentityGroup
(解析器逻辑)event.idm.read_only_udm.principal.group.product_object_id event.idm.read_only_udm.principal.group.product_object_id 派生自 IdentityGroupID
(解析器逻辑)event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname 派生自 r_ip_or_hostNetworkDeviceName 或其他主机名字段,具体取决于日志类别和其他字段。
(解析器逻辑)event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip 根据日志类别和其他字段派生自各种 IP 地址字段。
(解析器逻辑)event.idm.read_only_udm.principal.labels event.idm.read_only_udm.principal.labels 填充了 nas_identifiernas_port_typenas_port_id 等字段。
(解析器逻辑)event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region 派生自 Location
(解析器逻辑)event.idm.read_only_udm.principal.nat_ip event.idm.read_only_udm.principal.nat_ip 派生自 NAS-IP-Address
(解析器逻辑)event.idm.read_only_udm.principal.nat_port event.idm.read_only_udm.principal.nat_port 如果 NAS-Port 是数值且小于 2147483648,则派生自 NAS-Port
(解析器逻辑)event.idm.read_only_udm.principal.platform event.idm.read_only_udm.principal.platform 派生自 device-platformOperatingSystem。可以是 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。
(解析器逻辑)event.idm.read_only_udm.principal.platform_version event.idm.read_only_udm.principal.platform_version 派生自 platform-version
(解析器逻辑)event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port 如果为数值,则派生自 Device PortPort
(解析器逻辑)event.idm.read_only_udm.principal.user.attribute.labels event.idm.read_only_udm.principal.user.attribute.labels 填充了“Admin Interface”“UserType”和“Chargeable-User-Identity”等字段。
(解析器逻辑)event.idm.read_only_udm.principal.user.phone_numbers event.idm.read_only_udm.principal.user.phone_numbers 派生自 PhoneIDPhoneNumber
(解析器逻辑)event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid 根据日志类别和其他字段,从 UserUserNameUser-NameAdminNameOriginalUserName 或其他用户名字段派生而来。
(解析器逻辑)event.idm.read_only_udm.security_result.about.labels event.idm.read_only_udm.security_result.about.labels 填充了“IdentityPolicyMatchedRule”“EndPointMatchedProfile”“ObjectType”和“ObjectName”等字段。
(解析器逻辑)event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action 派生自 msg_textAuthenticationStatus。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。
(解析器逻辑)event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields 根据日志类别和其他字段填充各种字段。
(解析器逻辑)event.idm.read_only_udm.security_result.description event.idm.read_only_udm.security_result.description 派生自 AD-Error-DetailsDetailedInfo
(解析器逻辑)event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name 派生自 AuthorizationPolicyMatchedRuleRegisterStatus
(解析器逻辑)event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity 派生自 msg_sev。可以是 CRITICAL、ERROR、HIGH、MEDIUM 或 INFORMATIONAL。
(解析器逻辑)event.idm.read_only_udm.security_result.severity_details event.idm.read_only_udm.security_result.severity_details 派生自 msg_sev
(解析器逻辑)event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary 派生自 msg_textFailureReason
(解析器逻辑)event.idm.read_only_udm.src.ip event.idm.read_only_udm.src.ip 派生自从 OperationMessageText 中提取的 source_ip
(解析器逻辑)event.idm.read_only_udm.src.port event.idm.read_only_udm.src.port 如果 source_port 是数值,则从 OperationMessageText 中提取 source_port
(解析器逻辑)event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain 派生自 AD-Domain-Controller
(解析器逻辑)event.idm.read_only_udm.target.asset.hardware event.idm.read_only_udm.target.asset.hardware 填充了 _hardware.cpu_number_cores 等字段。
(解析器逻辑)event.idm.read_only_udm.target.asset.hostname `

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。