Mengumpulkan log Cloudflare
Didukung di:
Google SecOps
SIEM
Ringkasan
Parser ini menangani berbagai jenis log Cloudflare (DNS, HTTP, Audit, Zero Trust, CASB). Pertama-tama, kolom umum akan dinormalisasi, lalu logika bersyarat akan diterapkan berdasarkan kolom tertentu seperti QueryName, Action, dan ID untuk mengekstrak dan memetakan data yang relevan ke UDM. Selain itu, alat ini juga melakukan konversi jenis data, pencocokan grok untuk alamat IP dan hash, serta menangani payload JSON bertingkat.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke Google Cloud IAM.
- Akses istimewa ke Google Cloud Storage.
- Akses istimewa ke Cloudflare.
Membuat Google Cloud Bucket Storage
- Login ke konsol Google Cloud .
Buka halaman Cloud Storage Buckets.
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
Di bagian Mulai, lakukan tindakan berikut:
- Masukkan nama unik yang memenuhi persyaratan nama bucket (misalnya, cloudflare-data).
- Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.
- Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.
- Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:
- Pilih Jenis lokasi.
- Gunakan drop-down jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
- Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo dengan menggunakan kotak centang yang relevan.
- Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.
Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
Di bagian Pilih cara mengontrol akses ke objek, pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.
Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:
- Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
- Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Buat.
Buat Akun Layanan Google Cloud
- Buka IAM & Admin > Service Accounts.
- Buat akun layanan baru.
- Beri nama deskriptif (Misalnya, cloudflare-logs).
- Beri akun layanan peran Storage Object Creator di bucket GCS yang Anda buat pada langkah sebelumnya.
- Buat kunci akun layanan untuk akun layanan.
- Download file kunci JSON untuk akun layanan. Jaga keamanan file ini.
Mengaktifkan Cloudflare IAM ke Google Cloud Storage
- Buka Penyimpanan > Browser > Bucket > Izin.
- Tambahkan anggota
logpush@cloudflare-data.dengan izin Storage Object Admin.
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, Cloudflare Logs).
- Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Cloudflare sebagai Jenis log.
- Klik Dapatkan Akun Layanan sebagai Akun Layanan Chronicle.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Bucket Penyimpanan: URL bucket penyimpanan Google Cloud dalam format
gs://my-bucket/<value>. - Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
- URI Bucket Penyimpanan: URL bucket penyimpanan Google Cloud dalam format
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Mengonfigurasi Cloudflare untuk mengirim log ke Google Cloud Storage
- Login ke dasbor Cloudflare.
- Pilih akun atau domain Enterprise (juga dikenal sebagai zona) yang ingin Anda gunakan dengan Logpush.
- Buka Analytics & Logs > Logpush.
- Pilih tugas Buat Logpush.
- Di Pilih tujuan, pilih Google Cloud Storage.
Masukkan atau pilih detail tujuan berikut:
- Bucket: Nama bucket GCS
- Jalur: lokasi bucket dalam penampung penyimpanan
- Kotak centang: Atur log ke dalam subfolder harian (direkomendasikan)
Klik Lanjutkan.
Verifikasi kepemilikan:
- Cloudflare akan mengirim file ke bucket Anda.
- Salin dan tempel token:
- Login ke konsolGoogle Cloud > Storage > Cloudflare bucket.
- Buka file sengketa kepemilikan.
- Salin Ownership Token.
- Masukkan token kepemilikan di konsol Cloudflare.
- Pilih Lanjutkan.
- Pilih set data yang akan di-push ke bucket.
Konfigurasi tugas logpush:
- Masukkan Nama tugas.
- Di bagian Jika log cocok, Anda dapat memilih peristiwa yang akan disertakan dan/atau dihapus dari log Anda.
- Kirim kolom berikut: Pilih untuk mengirim semua log atau memilih secara selektif log mana yang ingin Anda kirim.
Pilih Kirim untuk menyelesaikan konfigurasi.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
AccountID |
target.resource.id, target.resource.product_object_id |
ID akun yang terkait dengan peristiwa. |
Action |
security_result.action |
Tindakan yang diambil berdasarkan peristiwa. allow atau allowed* menghasilkan ALLOW. Hasil unknown di UNKNOWN_ACTION. Nilai lainnya akan menghasilkan BLOCK. Untuk Log akses, login dipetakan ke USER_LOGIN, logout ke USER_LOGOUT, dan nilai lainnya ke USER_RESOURCE_ACCESS jika ada email. |
ActionResult |
security_result.action |
Jika true, dipetakan ke ALLOW. Jika false, dipetakan ke BLOCK. Jika tidak, dipetakan ke UNKNOWN_ACTION. |
ActionType |
security_result.description |
Deskripsi tindakan yang dilakukan. |
ActorEmail |
principal.user.email_addresses |
Alamat email pelaku yang memulai peristiwa. |
ActorID |
principal.user.product_object_id |
ID aktor yang memulai peristiwa. |
ActorIP |
principal.ip, principal.asset.ip |
Alamat IP pelaku yang memulai peristiwa. |
Allowed |
security_result.action |
Jika true, dipetakan ke ALLOW. Jika tidak, dipetakan ke BLOCK. |
AppDomain |
target.administrative_domain |
Domain aplikasi yang terlibat dalam peristiwa. |
AppUUID |
target.resource.product_object_id |
UUID aplikasi yang terlibat dalam peristiwa. |
AssetDisplayName |
principal.asset.attribute.labels.value dengan key adalah AssetDisplayName |
Nama tampilan aset. |
AssetExternalID |
principal.asset_id (diawali dengan "Cloudflare:") |
ID eksternal aset. |
AssetLink |
principal.url |
Link yang terkait dengan aset. |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value dengan key adalah agreedToTerms |
Apakah pengguna menyetujui persyaratan. |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value dengan key adalah changePasswordAtNextLogin |
Apakah pengguna perlu mengubah sandi saat login berikutnya. |
AssetMetadata.clientId |
principal.user.userid |
ID Klien dari metadata aset. |
AssetMetadata.customerId |
principal.user.userid |
ID Pelanggan dari metadata aset. |
AssetMetadata.familyName |
principal.user.last_name |
Nama keluarga pengguna dari metadata aset. |
AssetMetadata.givenName |
principal.user.first_name |
Nama pengguna dari metadata aset. |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value dengan key adalah includeInGlobalAddressList |
Apakah pengguna disertakan dalam daftar alamat global. |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value dengan key adalah ipWhitelisted |
Apakah pengguna diizinkan IP-nya. |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value dengan key adalah isAdmin |
Apakah pengguna adalah admin. |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value dengan key adalah isDelegatedAdmin |
Apakah pengguna adalah admin yang didelegasikan. |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value dengan key adalah isEnforcedIn2Sv |
Apakah 2SV diterapkan untuk pengguna. |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value dengan key adalah isEnrolledIn2Sv |
Apakah pengguna terdaftar dalam Verifikasi 2 Langkah. |
AssetMetadata.kind |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value dengan key adalah lastLoginTime |
Waktu login terakhir pengguna. |
AssetMetadata.login |
principal.user.userid |
Nama login dari metadata aset. |
AssetMetadata.name.familyName |
principal.user.last_name |
Nama keluarga dari metadata aset. |
AssetMetadata.name.fullName |
principal.user.user_display_name |
Nama lengkap dari metadata aset. |
AssetMetadata.name.givenName |
principal.user.first_name |
Nama depan dari metadata aset. |
AssetMetadata.nativeApp |
security_result.detection_fields.value dengan key adalah nativeApp |
Apakah aplikasi bersifat native. |
AssetMetadata.owner.id |
principal.user.userid |
ID pemilik dari metadata aset. |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
Email utama dari metadata aset. |
AssetMetadata.scopes |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
AssetMetadata.site_admin |
principal.user.attribute.labels.value dengan key adalah site_admin |
Apakah pengguna adalah admin situs. |
AssetMetadata.suspended |
principal.user.attribute.labels.value dengan key adalah suspended |
Apakah pengguna ditangguhkan. |
AssetMetadata.url |
principal.url |
URL dari metadata aset. |
AssetMetadata.userKey |
principal.user.attribute.labels.value dengan key adalah userKey |
Kunci pengguna dari metadata aset. |
BlockedFileHash |
target.file.md5, target.file.sha1, target.file.sha256 |
Hash file yang diblokir. Diuraikan menggunakan grok untuk mengekstrak md5, sha1, atau sha256. |
BlockedFileName |
security_result.about.file.full_path |
Nama file yang diblokir. |
BlockedFileReason |
security_result.summary |
Alasan pemblokiran file. |
BlockedFileSize |
target.file.size |
Ukuran file yang diblokir. |
BotScore |
security_result.detection_fields.value dengan key adalah BotScore |
Skor bot yang ditetapkan untuk permintaan. |
BytesReceived |
network.received_bytes |
Jumlah byte yang diterima. |
BytesSent |
network.sent_bytes |
Jumlah byte yang dikirim. |
CacheCacheStatus |
additional.fields.value.string_value dengan key adalah CacheCacheStatus |
Status cache. |
CacheResponseBytes |
additional.fields.value.string_value dengan key adalah CacheResponseBytes |
Jumlah byte dalam respons yang di-cache. |
CacheResponseStatus |
additional.fields.value.string_value dengan key adalah CacheResponseStatus |
Kode status respons yang di-cache. |
ClientASN |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
ClientCountry |
principal.location.country_or_region |
Negara klien. |
ClientDeviceType |
additional.fields.value.string_value dengan key adalah ClientDeviceType |
Jenis perangkat klien. |
ClientIP |
principal.ip, principal.asset.ip |
Alamat IP klien. |
ClientRequestMethod |
network.http.method |
Metode permintaan HTTP yang digunakan oleh klien. |
ClientRequestHost |
target.hostname, target.asset.hostname |
Nama host yang diminta oleh klien. |
ClientRequestPath |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
ClientRequestProtocol |
network.application_protocol |
Protokol yang digunakan dalam permintaan klien (misalnya, HTTP, HTTPS). Versi protokol dihapus. |
ClientRequestReferer |
network.http.referral_url |
URL perujuk permintaan klien. |
ClientRequestURI |
target.url (digabungkan dengan ClientRequestHost jika ada) |
URI yang diminta oleh klien. |
ClientRequestUserAgent |
network.http.user_agent |
Agen pengguna permintaan klien. Juga diuraikan dan dipetakan ke network.http.parsed_user_agent. |
ClientSSLCipher |
network.tls.cipher |
Cipher SSL yang digunakan oleh klien. |
ClientSSLProtocol |
network.tls.version |
Protokol SSL yang digunakan oleh klien. |
ClientSrcPort |
principal.port |
Port sumber klien. |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value dengan key adalah ClientTCPHandshakeDurationMs |
Durasi handshake TCP klien. |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value dengan key adalah ClientTLSHandshakeDurationMs |
Durasi handshake TLS klien. |
ClientTLSVersion |
network.tls.version |
Versi TLS yang digunakan oleh klien. |
ColoID |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
Connection |
target.resource.attribute.labels.value dengan key adalah Connection |
Jenis koneksi (misalnya, saml). |
ConnectionCloseReason |
additional.fields.value.string_value dengan key adalah ConnectionCloseReason |
Alasan penutupan koneksi. |
ConnectionReuse |
additional.fields.value.string_value dengan key adalah ConnectionReuse |
Apakah penggunaan ulang koneksi terjadi. |
Country |
target.location.country_or_region |
Negara yang terkait dengan acara. |
CreatedAt |
metadata.event_timestamp |
Stempel waktu pembuatan acara. |
Datetime |
metadata.event_timestamp |
Tanggal dan waktu acara. |
DestinationIP |
target.ip, target.asset.ip |
Alamat IP tujuan. |
DestinationPort |
target.port |
Port tujuan. |
DestinationTunnelID |
additional.fields.value.string_value dengan key adalah DestinationTunnelID |
ID tunnel tujuan. |
DeviceID |
principal.asset_id (diawali dengan "Cloudflare:") |
ID perangkat. |
DeviceName |
principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value dengan kunci adalah DeviceName |
Nama perangkat. |
DownloadedFileNames |
security_result.about.labels.value dengan key adalah DownloadFileNames |
Nama file yang didownload. |
DstIP |
target.ip, target.asset.ip |
Alamat IP tujuan. |
DstPort |
target.port |
Port tujuan. |
EdgeColoCode |
additional.fields.value.string_value dengan key adalah EdgeColoCode |
Kode lokasi edge Cloudflare. |
EdgeColoID |
additional.fields.value.string_value dengan key adalah EdgeColoID |
ID lokasi edge Cloudflare. |
EdgeEndTimestamp |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
EdgeResponseBytes |
network.received_bytes |
Jumlah byte dalam respons dari edge. |
EdgeResponseContentType |
target.file.mime_type |
Jenis konten respons edge. |
EdgeResponseStatus |
network.http.response_code |
Kode status respons edge. |
EdgeServerIP |
target.ip, target.asset.ip |
Alamat IP server tepi. |
EdgeStartTimestamp |
metadata.event_timestamp |
Stempel waktu awal permintaan di edge. |
Email |
principal.user.email_addresses, target.user.email_addresses |
Alamat email yang terkait dengan acara. |
EgressColoName |
additional.fields.value.string_value dengan key adalah EgressColoName |
Nama colo keluar. |
EgressIP |
principal.ip, principal.asset.ip |
Alamat IP keluar. Menetapkan network.direction ke OUTBOUND. |
EgressPort |
principal.port |
Port keluar. |
EgressRuleID |
additional.fields.value.string_value dengan key adalah EgressRuleID |
ID aturan keluar. |
EgressRuleName |
additional.fields.value.string_value dengan key adalah EgressRuleName |
Nama aturan traffic keluar. |
FindingTypeDisplayName |
security_result.description |
Nama tampilan jenis temuan. |
FindingTypeID |
security_result.rule_id |
ID jenis temuan. |
FindingTypeSeverity |
security_result.severity |
Tingkat keparahan jenis temuan. |
FirewallMatchesActions |
security_result.action |
Tindakan yang dilakukan oleh aturan firewall. allow, Allow, ALLOW, skip, SKIP, Skip dipetakan ke ALLOW. challengeSolved dan jschallengeSolved dipetakan ke ALLOW_WITH_MODIFICATION. drop dan block dipetakan ke BLOCK. Nilai lainnya dipetakan ke UNKNOWN_ACTION. |
FirewallMatchesRuleIDs |
security_result.rule_id (untuk ID pertama), ID berikutnya akan membuat objek security_result baru. |
ID aturan firewall yang cocok. |
FirewallMatchesSources |
security_result.rule_name |
Sumber aturan firewall yang cocok. |
HTTPHost |
target.hostname |
Host HTTP. |
HTTPMethod |
network.http.method |
Metode HTTP. |
HTTPVersion |
network.application_protocol |
Jika nilai berisi "HTTP", tetapkan network.application_protocol ke HTTP. |
ID |
metadata.product_log_id |
ID acara. |
IngressColoName |
additional.fields.value.string_value dengan key adalah IngressColoName |
Nama colo ingress. |
InstanceID |
principal.resource.product_object_id |
ID instance. |
IntegrationDisplayName |
additional.fields.value.string_value dengan key adalah IntegrationDisplayName |
Nama tampilan integrasi. |
IntegrationID |
metadata.product_deployment_id |
ID integrasi. |
IntegrationPolicyVendor |
additional.fields.value.string_value dengan key adalah IntegrationPolicyVendor |
Vendor kebijakan integrasi. |
IPAddress |
target.ip, target.asset.ip |
Alamat IP yang terkait dengan peristiwa. |
IsIsolated |
about.labels.value dengan kunci adalah IsIsolated, security_result.about.resource.attribute.labels.value dengan kunci adalah IsIsolated |
Apakah acara diisolasi. |
Location |
principal.location.name |
Lokasi yang terkait dengan acara. |
NewValue |
security_result.about.labels.value dengan key adalah NewValue |
Nilai baru setelah pembaruan. |
Offramp |
additional.fields.value.string_value dengan key adalah Offramp |
Offramp yang digunakan dalam koneksi. |
OldValue |
security_result.about.labels.value dengan key adalah OldValue |
Nilai lama sebelum pembaruan. |
OriginIP |
intermediary.ip, target.ip, target.asset.ip |
Alamat IP asal. |
OriginPort |
target.port |
Port asal. |
OriginResponseBytes |
additional.fields.value.string_value dengan key adalah OriginResponseBytes |
Jumlah byte dalam respons origin. |
OriginResponseStatus |
additional.fields.value.string_value dengan key adalah OriginResponseStatus |
Kode status respons origin. |
OriginResponseTime |
additional.fields.value.string_value dengan key adalah OriginResponseTime |
Waktu respons origin. |
OriginSSLProtocol |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
OriginTLSCertificateIssuer |
additional.fields.value.string_value dengan key adalah OriginTLSCertificateIssuer |
Penerbit sertifikat TLS asal. |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value dengan key adalah OriginTLSCertificateValidationResult |
Hasil validasi sertifikat TLS asal. |
OriginTLSCipher |
additional.fields.value.string_value dengan key adalah OriginTLSCipher |
Cipher yang digunakan dalam koneksi TLS asal. |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value dengan key adalah OriginTLSHandshakeDurationMs |
Durasi handshake TLS asal. |
OriginTLSVersion |
additional.fields.value.string_value dengan key adalah OriginTLSVersion |
Versi TLS yang digunakan oleh origin. |
OwnerID |
target.user.product_object_id |
ID pemilik. |
Policy |
security_result.rule_name |
Kebijakan yang terkait dengan peristiwa. |
PolicyID |
security_result.rule_id |
ID kebijakan. |
PolicyName |
security_result.rule_name |
Nama kebijakan. |
Protocol |
network.application_protocol, network.ip_protocol |
Protokol yang digunakan dalam koneksi. Jika bukan "tls" atau "TLS", akan dikonversi menjadi huruf besar dan dipetakan ke network.application_protocol. Jika tidak, diuraikan menggunakan file include dan dipetakan ke network.ip_protocol. |
PurposeJustificationPrompt |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
PurposeJustificationResponse |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
QueryCategoryIDs |
security_result.about.labels.value, security_result.about.resource.attribute.labels.value dengan kunci adalah QueryCategoryIDs |
ID kategori kueri. |
QueryName |
network.dns.questions.name |
Nama kueri DNS. Menetapkan metadata.event_type ke NETWORK_DNS dan network.application_protocol ke DNS. |
QueryNameReversed |
network.dns.questions.name |
Nama terbalik dari kueri DNS. |
QuerySize |
network.sent_bytes |
Ukuran kueri. |
QueryType |
network.dns.questions.type |
Jenis kueri DNS. Dipetakan ke nilai numerik berdasarkan kode jenis kueri DNS. |
RData |
network.dns.answers.type, network.dns.answers.data |
Data catatan DNS. Setiap elemen dalam array RData membuat objek answer baru. |
RayID |
metadata.product_log_id |
ID Ray yang terkait dengan permintaan. |
Referer |
network.http.referral_url |
URL perujuk. |
RequestID |
metadata.product_log_id |
ID permintaan. |
ResolverDecision |
security_result.summary |
Keputusan yang dibuat oleh resolver. |
ResourceID |
target.resource.id, target.resource.product_object_id |
ID resource. |
ResourceType |
target.resource.resource_subtype |
Jenis resource. |
RuleEvaluationDurationMs |
additional.fields.value.string_value dengan key adalah RuleEvaluationDurationMs |
Durasi evaluasi aturan. |
SNI |
network.tls.client.server_name |
Server Name Indication (SNI) di TLS client hello. |
SecurityAction |
security_result.action |
Tindakan keamanan telah dilakukan. Nilai kosong atau tidak ada SecurityAction yang dipetakan ke ALLOW. challengeSolved atau jschallengeSolved dipetakan ke ALLOW_WITH_MODIFICATION. drop atau block dipetakan ke BLOCK. |
SecurityLevel |
security_result.severity |
Tingkat keamanan. high dipetakan ke HIGH, med ke MEDIUM, low ke LOW. |
SessionEndTime |
additional.fields.value.string_value dengan key adalah SessionEndTime |
Waktu berakhir sesi. |
SessionID |
network.session_id |
ID sesi. |
SessionStartTime |
metadata.event_timestamp |
Waktu mulai sesi. |
SourceIP |
principal.ip, principal.asset.ip, src.ip, src.asset.ip |
Alamat IP sumber. |
SourcePort |
principal.port, src.port |
Port sumber. |
SrcIP |
principal.ip, principal.asset.ip |
Alamat IP sumber. |
SrcPort |
principal.port |
Port sumber. |
TemporaryAccessDuration |
network.session_duration.seconds |
Durasi akses sementara. |
Timestamp |
metadata.event_timestamp |
Stempel waktu peristiwa. |
Transport |
network.ip_protocol |
Protokol transportasi. Dikonversi menjadi huruf besar dan diuraikan menggunakan file include. |
UploadedFileNames |
security_result.about.labels.value dengan key adalah UploadedFileNames |
Nama file yang diupload. |
URL |
target.url |
URL yang terlibat dalam peristiwa. |
UserAgent |
network.http.user_agent |
String agen pengguna. Juga diuraikan dan dipetakan ke network.http.parsed_user_agent. |
UserID |
principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id |
ID pengguna. |
UserUID |
target.user.product_object_id |
UID pengguna. |
VirtualNetworkID |
principal.resource.product_object_id |
ID jaringan virtual. |
WAFAction |
security_result.about.labels.value dengan key adalah WAFAction |
Tindakan yang dilakukan oleh Firewall Aplikasi Web (WAF). |
WAFAttackScore |
security_result.about.resource.attribute.labels.value dengan key adalah WAFAttackScore |
Skor serangan yang ditetapkan oleh WAF. |
WAFFlags |
security_result.about.resource.attribute.labels.value dengan key adalah WAFFlags |
Tanda WAF. |
WAFMatchedVar |
(Tidak dipetakan) | Tidak dipetakan ke objek IDM. |
WAFProfile |
security_result.about.labels.value dengan key adalah WAFProfile |
Profil WAF. |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value dengan key adalah WAFRCEAttackScore |
Skor serangan Eksekusi Kode Jarak Jauh (RCE) WAF. |
WAFRuleID |
security_result.threat_id, security_result.about.labels.value dengan kunci adalah WAFRuleID |
ID aturan WAF. |
WAFRuleMessage |
security_result.rule_name, security_result.threat_name |
Pesan yang terkait dengan aturan WAF. |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value dengan key adalah WAFSQLiAttackScore |
Skor serangan Injeksi SQL WAF. |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value dengan key adalah WAFXSSAttackScore |
Skor serangan Pembuatan Skrip Lintas Situs (XSS) WAF. |
ZoneID |
additional.fields.value.string_value dengan key adalah ZoneID |
ID zona. |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
Jenis peristiwa. Ditetapkan oleh parser berdasarkan data log. Nilai defaultnya adalah GENERIC_EVENT jika tidak ditetapkan atau jika peristiwa NETWORK_DNS tidak memiliki prinsipal atau target. Dapat berupa NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT, atau GENERIC_EVENT. |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
Jenis log, ditetapkan ke "CLOUDFLARE". |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
ID deployment produk. |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
ID log produk. |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
Nama produk. Ditetapkan oleh parser berdasarkan data log. Dapat berupa "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall". |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
Nama vendor, ditetapkan ke "Cloudflare". |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
Stempel waktu peristiwa. |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
Protokol aplikasi yang digunakan dalam koneksi jaringan. |
event.idm.read_only_udm.network.direction |
network.direction |
Arah koneksi jaringan. Ditetapkan ke OUTBOUND jika EgressIP dan SourceIP ada. |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
Jawaban DNS. |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
Pertanyaan DNS. |
event.idm.read_only_udm.network.http.method |
network.http.method |
Metode HTTP. |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
Agen pengguna yang diuraikan. |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
URL rujukan HTTP. |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
Kode respons HTTP. |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
Agen pengguna HTTP. |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
Protokol IP. |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
Jumlah byte yang diterima. |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
Jumlah byte yang dikirim. |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
Durasi sesi jaringan dalam detik. |
event.idm.read_only_udm.network.session_id |
network.session_id |
ID sesi jaringan. |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
Cipher suite TLS. |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
Nama server klien TLS. |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
Versi TLS. |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
Label yang terkait dengan aset utama. |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
Nama host aset utama. |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
Alamat IP aset utama. |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
ID aset utama. |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
Nama host prinsipal. |
event.idm.read_only_udm.principal.ip |
principal.ip |
Alamat IP utama. |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
Negara atau wilayah lokasi prinsipal. |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
Nama lokasi prinsipal. |
event.idm.read_only_udm.principal.port |
principal.port |
Port yang digunakan oleh kepala sekolah. |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
ID objek produk dari resource prinsipal. |
event.idm.read_only_udm.principal.url |
principal.url |
URL yang terkait dengan prinsipal. |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
Label yang terkait dengan pengguna utama. |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
Alamat email pengguna utama. |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
Nama depan pengguna utama. |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
Nama belakang pengguna utama. |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
ID objek produk pengguna utama. |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
ID pengguna utama. |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
Nama tampilan pengguna utama. |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
Alamat IP aset sumber. |
event.idm.read_only_udm.src.ip |
src.ip |
Alamat IP sumber. |
event.idm.read_only_udm.src.port |
src.port |
Port sumber. |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
Domain administratif target. |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
Nama host aset target. |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
Alamat IP aset target. |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
Jenis MIME file target. |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
Hash MD5 file target. |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
Hash SHA1 file target. |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
Hash SHA256 file target. |
event.idm.read_only_udm.target.file.size |
target.file.size |
Ukuran file target. |
event.idm.read_only_udm.target.hostname |
target.hostname |
Nama host target. |
event.idm.read_only_udm.target.ip |
target.ip |
Alamat IP target. |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
Negara atau wilayah lokasi target. |
event.idm.read_only_udm.target.port |
target.port |
Port target. |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
Label yang terkait dengan resource target. |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
ID resource target. |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
ID objek produk dari resource target. |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
Subjenis resource target. |
event.idm.read_only_udm.target.url |
target.url |
URL target. |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
Alamat email pengguna target. |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
ID objek produk pengguna target. |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
Jalur lengkap file yang terlibat dalam hasil keamanan. |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
Label yang terkait dengan hasil keamanan. |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
Label yang terkait dengan resource dalam hasil keamanan. |
event.idm.read_only_udm.security_result.action |
security_result.action |
Tindakan yang diambil dalam hasil keamanan. |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
Kolom deteksi dalam hasil keamanan. |
event.idm.read_only_udm.security_result.description |
security_result.description |
Deskripsi hasil keamanan. |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
ID aturan hasil keamanan. |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
Nama aturan hasil keamanan. |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
Tingkat keparahan hasil keamanan. |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
Ringkasan hasil keamanan. |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
ID ancaman hasil keamanan. |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
Nama ancaman hasil keamanan. |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
Jenis autentikasi. Disetel ke MACHINE untuk peristiwa login dan logout. |
event.idm.read_only_udm.about |
about |
Tentang informasi. |
event.idm.read_only_udm.additional.fields |
additional.fields |
Kolom tambahan. |
event.idm.read_only_udm.intermediary |
intermediary |
Informasi perantara. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.