Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cisco Meraki

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Cisco Meraki dengan menggunakan penerusan Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CISCO_MERAKI.

Mengonfigurasi Cisco Meraki

Login ke dasbor Cisco Meraki.
Di dasbor Cisco Meraki, pilih Configure > Alerts & administration.
Di bagian Logging, lakukan tindakan berikut:
1. Di kolom Server IP, tentukan alamat IP penerus Google Security Operations.
2. Di kolom Port, tentukan nilai port, seperti 514.
3. Di kolom Peran, pilih empat opsi yang tersedia untuk mendapatkan semua log atau pilih kombinasi apa pun sesuai kebutuhan Anda.
Klik Simpan perubahan.

Mengonfigurasi penerusan dan syslog Google Security Operations untuk menyerap log Cisco Meraki

Buka Setelan SIEM > Pengirim.
Klik Tambahkan penerusan baru.
Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Nama pengumpul, ketik nama.
Pilih Cisco Meraki sebagai Jenis log.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input wajib berikut:
- Protocol: tentukan protokol.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations.

Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Operasi Keamanan Google.

Referensi pemetaan kolom

Parser ini menangani log Cisco Meraki (diidentifikasi sebagai Cisco/Meraki) dalam format SYSLOG atau JSON, menormalisasinya ke dalam UDM. Logam menggunakan pola grok untuk mengurai pesan syslog dan logika bersyarat berdasarkan kolom eventType untuk mengekstrak informasi yang relevan, menangani berbagai jenis peristiwa seperti aliran jaringan, permintaan URL, peristiwa firewall, dan peristiwa umum, memetakannya ke kolom UDM yang sesuai, dan memperkaya data dengan konteks tambahan. Jika input bukan syslog, input akan mencoba menguraikannya sebagai JSON dan memetakan kolom yang relevan ke UDM.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`action`	`security_result.action`	Nilai dikonversi menjadi huruf besar. Jika nilainya adalah "deny", nilai tersebut akan diganti dengan "BLOCK". Jika `sc_action` berisi "allow", nilainya diganti dengan "ALLOW". Jika tidak, jika `decision` berisi "block", nilai akan diganti dengan "BLOCK". Jika tidak, jika `authorization` adalah "success", nilai ini akan ditetapkan ke "ALLOW", dan jika "failure", nilai ini akan ditetapkan ke "BLOCK". Jika tidak, jika `pattern` adalah "1 all", "deny all", atau "Group Policy Deny", setel ke "BLOCK". Jika `pattern` adalah "izinkan semua", "Izinkan Kebijakan Grup", atau "0 semua", maka akan disetel ke "IZINKAN". Jika tidak, nilai ini ditetapkan ke "UNKNOWN_ACTION". Jika `decision` berisi "block", setelannya adalah "BLOCK".
`adId`	`principal.user.user_display_name`	Dipetakan langsung dari kolom `adId` dalam log JSON.
`agent`	`network.http.user_agent`	Tanda petik dihapus. Dipetakan langsung dari kolom `agent`. Juga dikonversi ke `network.http.parsed_user_agent` menggunakan filter `parseduseragent`.
`aid`	`network.session_id`	Dipetakan langsung dari kolom `aid`.
`appProtocol`	`network.application_protocol`	Dikonversi menjadi huruf besar. Dipetakan langsung dari kolom `appProtocol`.
`attr`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "attr".
`authorization`	`security_result.action_details`	Dipetakan langsung dari kolom `authorization` dalam log JSON.
`band`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "band".
`bssids.bssid`	`principal.mac`	Dikonversi menjadi huruf kecil. Digabungkan ke dalam array `principal.mac`.
`bssids.detectedBy.device`	`intermediary.asset.asset_id`	Diformat sebagai "ID perangkat: ".
`bssids.detectedBy.rssi`	`intermediary.asset.product_object_id`	Dikonversi menjadi string.
`Channel`	`about.resource.attribute.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `about.resource.attribute.labels` dengan kunci "Channel".
`clientDescription`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "clientDescription".
`clientId`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "clientId".
`clientIp`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `clientIp`.
`clientMac`	`principal.mac`	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom `clientMac` dalam log JSON.
`client_ip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `client_ip`.
`client_mac`	`principal.mac`	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom `client_mac`.
`code`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "code".
`collection_time`	`metadata.event_timestamp`	Kolom detik dan nanos digabungkan untuk membuat stempel waktu.
`Conditions`	`security_result.about.resource.attribute.labels`	Carriage return, baris baru, dan tab diganti dengan spasi dan nilai tertentu diganti. Nilai yang diubah ditambahkan sebagai pasangan nilai kunci ke array `security_result.about.resource.attribute.labels` dengan kunci "Conditions".
`decision`	`security_result.action`	Jika nilainya "blocked", maka akan ditetapkan ke "BLOCK".
`desc`	`metadata.description`	Dipetakan langsung dari kolom `desc`.
`description`	`security_result.description`	Dipetakan langsung dari kolom `description` dalam log JSON.
`DestAddress`	`target.ip`, `target.asset.ip`	Dipetakan langsung dari kolom `DestAddress`.
`DestPort`	`target.port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `DestPort`.
`deviceIp`	`target.ip`	Dipetakan langsung dari kolom `deviceIp`.
`deviceMac`	`target.mac`	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom `deviceMac`.
`deviceName`	`target.hostname`, `target.asset.hostname`	Dipetakan langsung dari kolom `deviceName` dalam log JSON.
`deviceSerial`	`target.asset.hardware.serial_number`	Dipetakan langsung dari kolom `deviceSerial` dalam log JSON.
`Direction`	`network.direction`	Karakter khusus dihapus, dan nilai dipetakan ke `network.direction`.
`DisabledPrivilegeList`	`target.user.attribute`	Carriage return, baris baru, dan tab diganti, dan nilai yang diubah diurai sebagai JSON dan digabungkan ke dalam objek `target.user.attribute`.
`dport`	`target.port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `dport`.
`dst`	`target.ip`, `target.asset.ip`	Dipetakan langsung dari kolom `dst`.
`dstIp`	`target.ip`, `target.asset.ip`	Dipetakan langsung dari kolom `dstIp`.
`dstPort`	`target.port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `dstPort`.
`dvc`	`intermediary.hostname`	Dipetakan langsung dari kolom `dvc`.
`EnabledPrivilegeList`	`target.user.attribute`	Carriage return, baris baru, dan tab diganti, dan nilai yang diubah diurai sebagai JSON dan digabungkan ke dalam objek `target.user.attribute`.
`eventData.aid`	`principal.asset_id`	Diformat sebagai "ASSET_ID:".
`eventData.client_ip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `eventData.client_ip` dalam log JSON.
`eventData.client_mac`	`principal.mac`	Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom `eventData.client_mac` dalam log JSON.
`eventData.group`	`principal.group.group_display_name`	Dipetakan langsung dari kolom `eventData.group` dalam log JSON.
`eventData.identity`	`principal.hostname`	Dipetakan langsung dari kolom `eventData.identity` dalam log JSON.
`eventData.ip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `eventData.ip` dalam log JSON.
`EventID`	`metadata.product_event_type`, `security_result.rule_name`	Dikonversi menjadi string. Dipetakan ke `metadata.product_event_type`. Juga digunakan untuk membuat `security_result.rule_name` dalam format "EventID: ". Digunakan untuk menentukan `event_type` dan `sec_action`.
`eventSummary`	`security_result.summary`, `metadata.description`	Dipetakan langsung dari kolom `eventSummary`. Juga digunakan di `security_result.description` untuk beberapa acara.
`eventType`	`metadata.product_event_type`	Dipetakan langsung dari kolom `eventType`. Digunakan untuk menentukan logika parsing yang akan diterapkan.
`filename`	`principal.process.file.full_path`	Dipetakan langsung dari kolom `filename`.
`FilterId`	`target.resource.product_object_id`	Dipetakan langsung dari kolom `FilterId` untuk EventID 5447.
`FilterName`	`target.resource.name`	Dipetakan langsung dari kolom `FilterName` untuk EventID 5447.
`FilterRTID`	`security_result.detection_fields`	Ditambahkan sebagai pasangan nilai kunci ke array `security_result.detection_fields` dengan kunci "FilterRTID".
`firstSeen`	`security_result.detection_fields`	Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array `security_result.detection_fields` dengan kunci "firstSeen".
`gatewayDeviceMac`	`target.mac`	Dikonversi menjadi huruf kecil. Digabungkan ke dalam array `target.mac`.
`group`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "group".
`GroupMembership`	`target.user`	Enter, baris baru, tab, dan karakter khusus dihapus. Nilai yang diubah diuraikan sebagai JSON dan digabungkan ke dalam objek `target.user`.
`Hostname`	`principal.hostname`, `principal.asset.hostname`	Dipetakan langsung dari kolom `Hostname`.
`identity`	`target.user.userid`	Dipetakan langsung dari kolom `identity`.
`instigator`	`additional.fields`	Ditambahkan sebagai key-value pair ke array `additional.fields` dengan kunci "instigator".
`int_ip`	`intermediary.ip`	Dipetakan langsung dari kolom `int_ip`.
`ip_msg`	`principal.resource.attribute.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `principal.resource.attribute.labels` dengan kunci "IPs".
`is_8021x`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "is_8021x".
`KeyName`	`target.resource.name`	Dipetakan langsung dari kolom `KeyName`.
`KeyFilePath`	`target.file.full_path`	Dipetakan langsung dari kolom `KeyFilePath`.
`lastSeen`	`security_result.detection_fields`	Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array `security_result.detection_fields` dengan kunci "lastSeen".
`last_known_client_ip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `last_known_client_ip`.
`LayerName`	`security_result.detection_fields`	Ditambahkan sebagai pasangan nilai kunci ke array `security_result.detection_fields` dengan kunci "Nama Lapisan".
`LayerRTID`	`security_result.detection_fields`	Ditambahkan sebagai pasangan nilai kunci ke array `security_result.detection_fields` dengan kunci "LayerRTID".
`localIp`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `localIp`.
`login`	`principal.user.email_addresses`	Dipetakan langsung dari kolom `login` dalam log JSON jika cocok dengan format alamat email.
`LogonGuid`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "LogonGuid".
`LogonType`	`extensions.auth.mechanism`	Dipetakan ke mekanisme autentikasi tertentu berdasarkan nilainya. Jika ada, `PreAuthType` akan menggantikan `LogonType`. Nilai dipetakan sebagai berikut: 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, other -> MECHANISM_UNSPECIFIED.
`mac`	`principal.mac`	Dikonversi menjadi huruf kecil. Digabungkan ke dalam array `principal.mac`.
`MandatoryLabel`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "MandatoryLabel".
`Message`	`security_result.description`, `security_result.summary`	Jika `AccessReason` ada, `Message` dipetakan ke `security_result.summary` dan `AccessReason` dipetakan ke `security_result.description`. Jika tidak, `Message` dipetakan ke `security_result.description`.
`method`	`network.http.method`	Dipetakan langsung dari kolom `method`.
`msg`	`security_result.description`	Dipetakan langsung dari kolom `msg`.
`name`	`principal.user.user_display_name`	Dipetakan langsung dari kolom `name` dalam log JSON.
`natsrcIp`	`principal.nat_ip`	Dipetakan langsung dari kolom `natsrcIp`.
`natsrcport`	`principal.nat_port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `natsrcport`.
`network_id`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "Network ID".
`NewProcessId`	`target.process.pid`	Dipetakan langsung dari kolom `NewProcessId`.
`NewProcessName`	`target.process.file.full_path`	Dipetakan langsung dari kolom `NewProcessName`.
`NewSd`	`target.resource.attribute.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `target.resource.attribute.labels` dengan kunci "New Security Descriptor".
`occurredAt`	`metadata.event_timestamp`	Diuraikan sebagai stempel waktu menggunakan format ISO8601.
`ObjectName`	`target.file.full_path`, `target.registry.registry_key`, `target.process.file.full_path`, `additional.fields`	Jika `EventID` adalah 4663 dan `ObjectType` adalah "Process", maka akan dipetakan ke `target.process.file.full_path`. Jika `ObjectType` adalah "Key", maka dipetakan ke `target.registry.registry_key`. Jika tidak, nilai ini dipetakan ke `target.file.full_path`. Untuk peristiwa lain, parameter ini ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "ObjectName".
`ObjectType`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "ObjectType". Digunakan untuk menentukan `event_type`.
`OldSd`	`target.resource.attribute.labels`	Ditambahkan sebagai key-value pair ke array `target.resource.attribute.labels` dengan kunci "Original Security Descriptor".
`organizationId`	`principal.resource.id`	Dipetakan langsung dari kolom `organizationId` dalam log JSON.
`ParentProcessName`	`target.process.parent_process.file.full_path`	Dipetakan langsung dari kolom `ParentProcessName`.
`pattern`	`security_result.description`	Dipetakan langsung ke `security_result.description`. Digunakan untuk menentukan `security_result.action`.
`peer_ident`	`target.user.userid`	Dipetakan langsung dari kolom `peer_ident`.
`PreAuthType`	`extensions.auth.mechanism`	Digunakan untuk menentukan mekanisme autentikasi jika ada. Mengganti `LogonType`.
`principalIp`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `principalIp`.
`principalMac`	`principal.mac`	Dikonversi menjadi huruf kecil. Digabungkan ke dalam array `principal.mac`.
`principalPort`	`principal.port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `principalPort`.
`prin_ip2`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `prin_ip2`.
`prin_url`	`principal.url`	Dipetakan langsung dari kolom `prin_url`.
`priority`	`security_result.priority`	Dipetakan ke tingkat prioritas berdasarkan nilainya: 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, lainnya -> UNKNOWN_PRIORITY.
`ProcessID`	`principal.process.pid`	Dikonversi menjadi string. Dipetakan langsung dari kolom `ProcessID`.
`ProcessName`	`principal.process.file.full_path`, `target.process.file.full_path`	Jika `EventID` adalah 4689, maka dipetakan ke `target.process.file.full_path`. Jika tidak, nilai ini dipetakan ke `principal.process.file.full_path`.
`prod_log_id`	`metadata.product_log_id`	Dipetakan langsung dari kolom `prod_log_id`.
`protocol`	`network.ip_protocol`	Dikonversi menjadi huruf besar. Jika berupa angka, angka tersebut akan dikonversi menjadi nama protokol IP yang sesuai. Jika "ICMP6", diganti dengan "ICMP". Dipetakan langsung dari kolom `protocol`.
`ProviderGuid`	`metadata.product_deployment_id`	Dipetakan langsung dari kolom `ProviderGuid`.
`query`	`network.dns.questions.name`	Dipetakan langsung dari kolom `query`.
`query_type`	`network.dns.questions.type`	Diganti namanya menjadi `question.type` dan digabungkan ke dalam array `network.dns.questions`. Dipetakan ke nilai numerik berdasarkan jenis kueri DHCP.
`radio`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "radio".
`reason`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "reason".
`rec_bytes`	`network.received_bytes`	Dikonversi menjadi bilangan bulat yang tidak bertanda tangan. Dipetakan langsung dari kolom `rec_bytes`.
`RecordNumber`	`metadata.product_log_id`	Dikonversi menjadi string. Dipetakan langsung dari kolom `RecordNumber`.
`RelativeTargetName`	`target.process.file.full_path`	Dipetakan langsung dari kolom `RelativeTargetName`.
`response_ip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `response_ip`.
`rssi`	`intermediary.asset.product_object_id`	Dipetakan langsung dari kolom `rssi`.
`sc_action`	`security_result.action_details`	Dipetakan langsung dari kolom `sc_action`.
`sec_action`	`security_result.action`	Digabungkan ke dalam array `security_result.action`.
`server_ip`	`client_ip`	Dipetakan langsung ke kolom `client_ip`.
`Severity`	`security_result.severity`	Dipetakan ke tingkat keparahan berdasarkan nilainya: "Info" -> INFORMATIONAL, "Error" -> ERROR, "Warning" -> MEDIUM, lainnya -> UNKNOWN_SEVERITY.
`sha256`	`target.file.sha256`	Dipetakan langsung dari kolom `sha256`.
`signature`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "signature".
`SourceAddress`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `SourceAddress`.
`SourceHandleId`	`src.resource.id`	Dipetakan langsung dari kolom `SourceHandleId`.
`SourceModuleName`	`observer.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `observer.labels` dengan kunci "SourceModuleName".
`SourceModuleType`	`observer.application`	Dipetakan langsung dari kolom `SourceModuleType`.
`SourcePort`	`principal.port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `SourcePort`.
`SourceProcessId`	`src.process.pid`	Dipetakan langsung dari kolom `SourceProcessId`.
`source_client_ip`	`client_ip`	Dipetakan langsung ke kolom `client_ip`.
`sport`	`principal.port`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `sport`.
`src`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari kolom `src`.
`ssid`	`network.session_id`	Dipetakan langsung dari kolom `ssid` dalam log JSON.
`ssidName`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "ssidName".
`state`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "state".
`Status`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "Status".
`status_code`	`network.http.response_code`	Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom `status_code`.
`SubjectDomainName`	`principal.administrative_domain`	Dipetakan langsung dari kolom `SubjectDomainName`.
`SubjectLogonId`	`principal.resource.attribute.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `principal.resource.attribute.labels` dengan kunci "SubjectLogonId".
`SubjectUserName`	`principal.user.userid`	Dipetakan langsung dari kolom `SubjectUserName`.
`SubjectUserSid`	`principal.user.windows_sid`	Dipetakan langsung dari kolom `SubjectUserSid`.
`targetHost`	`target.hostname`, `target.asset.hostname`	Dikonversi menjadi alamat IP jika memungkinkan. Jika tidak, diuraikan untuk mengekstrak nama host dan dipetakan ke `target.hostname` dan `target.asset.hostname`.
`TargetHandleId`	`target.resource.id`	Dipetakan langsung dari kolom `TargetHandleId`.
`TargetLogonId`	`principal.resource.attribute.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `principal.resource.attribute.labels` dengan kunci "TargetLogonId" jika berbeda dari `SubjectLogonId`.
`TargetProcessId`	`target.process.pid`	Dipetakan langsung dari kolom `TargetProcessId`.
`TargetUserName`	`target.user.userid`	Dipetakan langsung dari kolom `TargetUserName`.
`TargetUserSid`	`target.user.windows_sid`	Dipetakan langsung dari kolom `TargetUserSid`.
`Task`	`additional.fields`	Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "Task".
`timestamp`	`metadata.event_timestamp`	Kolom detik digunakan untuk membuat stempel waktu.
`ts`	`metadata.event_timestamp`	Jika `ts` kosong, kolom ini dibuat dengan menggabungkan `tsDate`, `tsTime`, dan `tsTZ`. Jika berisi "", string tersebut akan diuraikan untuk mengekstrak nilai bilangan bulat. Kemudian, string tersebut diuraikan sebagai stempel waktu menggunakan berbagai format.
`type`	`security_result.summary`, `metadata.product_event_type`	Dipetakan langsung dari kolom `type` dalam log JSON. Juga digunakan sebagai `eventSummary` dan `metadata.product_event_type` dalam beberapa kasus.
`url`	`target.url`, `principal.url`	Dipetakan langsung dari kolom `url`.
`url1`	`target.url`	Dipetakan langsung dari kolom `url1`.
`user`	`target.user.group_identifiers`	Digabungkan ke dalam array `target.user.group_identifiers`.
`user_id`	`target.user.userid`	Dipetakan langsung dari kolom `user_id`.
`UserID`	`principal.user.windows_sid`	Dipetakan langsung dari kolom `UserID`.
`UserName`	`principal.user.userid`	Dipetakan langsung dari kolom `UserName`.
`user_agent`	`network.http.user_agent`	Dipetakan langsung dari kolom `user_agent`.
`userId`	`target.user.userid`	Dipetakan langsung dari kolom `userId`.
`vap`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` dengan kunci "vap".
`VirtualAccount`	`security_result.about.labels`	Ditambahkan sebagai pasangan nilai kunci ke array `security_result.about.labels` dengan kunci "VirtualAccount".
`wiredLastSeen`	`security_result.detection_fields`	Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array `security_result.detection_fields` dengan kunci "wiredLastSeen".
`wiredMacs`	`intermediary.mac`	Dikonversi menjadi huruf kecil. Digabungkan ke dalam array `intermediary.mac`.
`WorkstationName`	`principal.hostname`, `principal.asset.hostname`	Dipetakan langsung dari kolom `WorkstationName`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.