Cloudflare のログを収集する
以下でサポートされています。
Google SecOps
SIEM
概要
このパーサーは、さまざまな Cloudflare ログタイプ(DNS、HTTP、監査、Zero Trust、CASB)を処理します。まず、一般的なフィールドを正規化します。続いて、QueryName、Action、ID などの特定のフィールドに基づき条件付きロジックを適用し、関連するデータを抽出して UDM にマッピングします。また、データ型の変換、IP アドレスとハッシュの grok マッチングも実行し、ネストされた JSON ペイロードを処理します。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス。
- Google Cloud IAM への特権アクセス。
- Google Cloud Storage への特権アクセス。
- Cloudflare への特権アクセス。
Google Cloud Storage バケットの作成
- Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
[始める] セクションで、次の操作を行います。
- バケット名の要件を満たす一意の名前を入力します(例: cloudflare-data)。
- 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
- バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
- [ラベルを追加] をクリックし、ラベルのキーと値を指定します。
[データの保存場所の選択] セクションで、次の操作を行います。
- ロケーション タイプを選択してください。
- ロケーション タイプのプルダウン メニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
- ロケーション タイプとして [デュアルリージョン] を選択した場合は、関連するチェックボックスを使用してターボ レプリケーションを有効にすることもできます。
- クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。
[データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。
[オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
[オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
- [データ保護] で、バケットに設定するオプションを選択します。
- オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。
Google Cloud サービス アカウントを作成する
- [IAM と管理] > [サービス アカウント] に移動します。
- 新しいサービス アカウントを作成します。
- わかりやすい名前を付けます(cloudflare-logs など)。
- 前の手順で作成した GCS バケットに対する ストレージ オブジェクト作成者のロールをサービス アカウントに付与します。
- サービス アカウントのサービス アカウント キーを作成します。
- サービス アカウント用の JSON キーファイルをダウンロードします。このファイルは安全に保管してください。
Cloudflare IAM から Google Cloud Storage へのアクセスを有効にする
- [ストレージ] > [ブラウザ] > [バケット] > [権限] に移動します。
- Storage オブジェクト管理者権限を持つメンバー
logpush@cloudflare-data.iam.gserviceaccount.comを追加します。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(Cloudflare ログなど)。
- [Source type] として [Google Cloud Storage] を選択します。
- [ログタイプ] として [Cloudflare] を選択します。
- Chronicle サービス アカウントとして [サービス アカウントを取得する] をクリックします。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI:
gs://my-bucket/<value>形式の Google Cloud Storage バケット URL。 - URI is a: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
- Storage Bucket URI:
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
- Storage Bucket URI:
gs://my-bucket/<value>形式の Google Cloud ストレージ バケット URL。 - URI is a: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
ログを Google Cloud Storage に送信するように Cloudflare を構成する
- Cloudflare ダッシュボードにログインします。
- Logpush で使用するエンタープライズ アカウントまたはドメイン(ゾーンとも呼ばれます)を選択します。
- [Analytics & Logs] > [Logpush] に移動します。
- [Create a Logpush job] を選択します。
- [宛先を選択してください] で [Google Cloud Storage] を選択します。
次の宛先情報を入力または選択します。
- バケット: GCS バケット名
- パス: ストレージ コンテナ内のバケットの場所
- チェックボックス: ログを毎日のサブフォルダに整理する(推奨)
[続行] をクリックします。
所有権の検証:
- Cloudflare は、バケットにファイルを送信します。
- トークンをコピーして貼り付けます。
- Google Cloud コンソール > [Storage] > [Cloudflare bucket] にログインします。
- 所有権の異議申し立てファイルを開きます。
- [Ownership Token] をコピーします。
- Cloudflare コンソールに所有権トークンを入力します。
- [続行] を選択します。
- バケットに push するデータセットを選択します。
logpush ジョブを構成します。
- ジョブ名を入力します。
- [If logs match] で、ログに含めるイベントやログから削除するイベントを選択できます。
- Send the following fields: [push all logs] を選択するか、[which logs you want to push] を選択します。
[送信] を選択して構成を確定します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
AccountID |
target.resource.id、target.resource.product_object_id |
イベントに関連付けられたアカウント ID。 |
Action |
security_result.action |
イベントに基づいて取られたアクション。allow や allowed* は ALLOW になります。unknown は UNKNOWN_ACTION になります。他の値は BLOCK になります。アクセスログの場合、login は USER_LOGIN に、logout は USER_LOGOUT に、他の値はメールが存在する場合は USER_RESOURCE_ACCESS にマッピングされます。 |
ActionResult |
security_result.action |
true の場合は、ALLOW にマッピングされます。false の場合は、BLOCK にマッピングされます。それ以外の場合は UNKNOWN_ACTION にマッピングされます。 |
ActionType |
security_result.description |
実行されたアクションの説明。 |
ActorEmail |
principal.user.email_addresses |
イベントを開始したユーザーのメールアドレス。 |
ActorID |
principal.user.product_object_id |
イベントを開始したアクターの ID。 |
ActorIP |
principal.ip、principal.asset.ip |
イベントを開始したアクターの IP アドレス。 |
Allowed |
security_result.action |
true の場合は、ALLOW にマッピングされます。それ以外の場合は BLOCK にマッピングされます。 |
AppDomain |
target.administrative_domain |
イベントに関与したアプリケーションのドメイン。 |
AppUUID |
target.resource.product_object_id |
イベントに関与したアプリケーションの UUID。 |
AssetDisplayName |
principal.asset.attribute.labels.value(キーは AssetDisplayName) |
アセットの表示名。 |
AssetExternalID |
principal.asset_id(「Cloudflare:」の接頭辞が付いています) |
アセットの外部 ID。 |
AssetLink |
principal.url |
アセットに関連付けられているリンク。 |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value(キーは agreedToTerms) |
ユーザーが利用規約に同意したかどうか。 |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value(キーは changePasswordAtNextLogin) |
ユーザーが次回ログイン時にパスワードを変更する必要があるかどうか。 |
AssetMetadata.clientId |
principal.user.userid |
アセットのメタデータから取得されたクライアント ID。 |
AssetMetadata.customerId |
principal.user.userid |
アセットのメタデータから取得されたお客様 ID。 |
AssetMetadata.familyName |
principal.user.last_name |
アセットのメタデータから取得されたユーザーの姓。 |
AssetMetadata.givenName |
principal.user.first_name |
アセットのメタデータから取得されたユーザーの名前(名)。 |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value(キーは includeInGlobalAddressList) |
ユーザーがグローバル アドレス一覧に含まれているかどうか。 |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value(キーは ipWhitelisted) |
ユーザーが IP ホワイトリストに登録されているかどうか。 |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value(キーは isAdmin) |
ユーザーが管理者かどうか。 |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value(キーは isDelegatedAdmin) |
ユーザーが委任管理者かどうか。 |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value(キーは isEnforcedIn2Sv) |
ユーザーに 2 段階認証プロセスが適用されているかどうか。 |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value(キーは isEnrolledIn2Sv) |
ユーザーが 2 段階認証プロセスに登録しているかどうか。 |
AssetMetadata.kind |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value(キーは lastLoginTime) |
ユーザーの最終ログイン時間。 |
AssetMetadata.login |
principal.user.userid |
アセットのメタデータから取得されたログイン名。 |
AssetMetadata.name.familyName |
principal.user.last_name |
アセットのメタデータから取得されたファミリー名。 |
AssetMetadata.name.fullName |
principal.user.user_display_name |
アセットのメタデータから取得されたフルネーム。 |
AssetMetadata.name.givenName |
principal.user.first_name |
アセットのメタデータから取得された名。 |
AssetMetadata.nativeApp |
security_result.detection_fields.value(キーは nativeApp) |
アプリがネイティブかどうか。 |
AssetMetadata.owner.id |
principal.user.userid |
アセットのメタデータから取得されたオーナー ID。 |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
アセットのメタデータから取得されたメインのメールアドレス。 |
AssetMetadata.scopes |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
AssetMetadata.site_admin |
principal.user.attribute.labels.value(キーは site_admin) |
ユーザーがサイト管理者かどうか。 |
AssetMetadata.suspended |
principal.user.attribute.labels.value(キーは suspended) |
ユーザーが一時停止されているかどうか。 |
AssetMetadata.url |
principal.url |
アセットのメタデータから取得された URL。 |
AssetMetadata.userKey |
principal.user.attribute.labels.value(キーは userKey) |
アセット メタデータのユーザーキー。 |
BlockedFileHash |
target.file.md5、target.file.sha1、target.file.sha256 |
ブロックされたファイルのハッシュ。grok を使用して解析され、md5、sha1、sha256 が抽出されます。 |
BlockedFileName |
security_result.about.file.full_path |
ブロックされたファイルの名前。 |
BlockedFileReason |
security_result.summary |
ファイルをブロックする理由。 |
BlockedFileSize |
target.file.size |
ブロックされたファイルのサイズ。 |
BotScore |
security_result.detection_fields.value(キーは BotScore) |
リクエストに割り当てられたボットスコア。 |
BytesReceived |
network.received_bytes |
受信したバイト数。 |
BytesSent |
network.sent_bytes |
送信したバイト数 |
CacheCacheStatus |
additional.fields.value.string_value(キーは CacheCacheStatus) |
キャッシュのステータス。 |
CacheResponseBytes |
additional.fields.value.string_value(キーは CacheResponseBytes) |
キャッシュに保存されたレスポンスのバイト数。 |
CacheResponseStatus |
additional.fields.value.string_value(キーは CacheResponseStatus) |
キャッシュに保存されたレスポンスのステータス コード。 |
ClientASN |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
ClientCountry |
principal.location.country_or_region |
クライアントの国。 |
ClientDeviceType |
additional.fields.value.string_value(キーは ClientDeviceType) |
クライアント デバイスのタイプ。 |
ClientIP |
principal.ip、principal.asset.ip |
クライアントの IP アドレス。 |
ClientRequestMethod |
network.http.method |
クライアントが使用する HTTP リクエスト メソッド。 |
ClientRequestHost |
target.hostname、target.asset.hostname |
クライアントがリクエストしたホスト名。 |
ClientRequestPath |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
ClientRequestProtocol |
network.application_protocol |
クライアント リクエストで使用されるプロトコル(HTTP、HTTPS など)。プロトコル バージョンが削除されます。 |
ClientRequestReferer |
network.http.referral_url |
クライアント リクエストの参照元 URL。 |
ClientRequestURI |
target.url(存在する場合は ClientRequestHost と組み合わせる) |
クライアントによってリクエストされた URI。 |
ClientRequestUserAgent |
network.http.user_agent |
クライアント リクエストのユーザー エージェント。また、解析されて network.http.parsed_user_agent にマッピングされます。 |
ClientSSLCipher |
network.tls.cipher |
クライアントで使用される SSL 暗号。 |
ClientSSLProtocol |
network.tls.version |
クライアントで使用される SSL プロトコル。 |
ClientSrcPort |
principal.port |
クライアントの送信元ポート。 |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value(キーは ClientTCPHandshakeDurationMs) |
クライアント TCP ハンドシェイクの期間。 |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value(キーは ClientTLSHandshakeDurationMs) |
クライアント TLS handshake の期間。 |
ClientTLSVersion |
network.tls.version |
クライアントで使用される TLS バージョン。 |
ColoID |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
Connection |
target.resource.attribute.labels.value(キーは Connection) |
接続タイプ(例: saml)。 |
ConnectionCloseReason |
additional.fields.value.string_value(キーは ConnectionCloseReason) |
接続のクローズの理由。 |
ConnectionReuse |
additional.fields.value.string_value(キーは ConnectionReuse) |
接続の再利用が発生したかどうか。 |
Country |
target.location.country_or_region |
イベントに関連付けられている国。 |
CreatedAt |
metadata.event_timestamp |
イベント作成のタイムスタンプ。 |
Datetime |
metadata.event_timestamp |
イベントの日時。 |
DestinationIP |
target.ip、target.asset.ip |
宛先 IP アドレス。 |
DestinationPort |
target.port |
宛先ポート。 |
DestinationTunnelID |
additional.fields.value.string_value(キーは DestinationTunnelID) |
宛先トンネルの ID。 |
DeviceID |
principal.asset_id(「Cloudflare:」の接頭辞が付いています) |
デバイスの ID。 |
DeviceName |
principal.hostname、principal.asset.hostname、principal.asset.attribute.labels.value(キーは DeviceName) |
デバイスの名前。 |
DownloadedFileNames |
security_result.about.labels.value(キーは DownloadFileNames) |
ダウンロードしたファイルの名前。 |
DstIP |
target.ip、target.asset.ip |
宛先 IP アドレス。 |
DstPort |
target.port |
宛先ポート。 |
EdgeColoCode |
additional.fields.value.string_value(キーは EdgeColoCode) |
Cloudflare エッジ ロケーション コード。 |
EdgeColoID |
additional.fields.value.string_value(キーは EdgeColoID) |
Cloudflare エッジ ロケーション ID。 |
EdgeEndTimestamp |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
EdgeResponseBytes |
network.received_bytes |
エッジからのレスポンスのバイト数。 |
EdgeResponseContentType |
target.file.mime_type |
エッジ レスポンスのコンテンツ タイプ。 |
EdgeResponseStatus |
network.http.response_code |
エッジ レスポンスのステータス コード。 |
EdgeServerIP |
target.ip、target.asset.ip |
エッジサーバーの IP アドレス。 |
EdgeStartTimestamp |
metadata.event_timestamp |
エッジでのリクエスト開始時のタイムスタンプ。 |
Email |
principal.user.email_addresses、target.user.email_addresses |
イベントに関連付けられているメールアドレス。 |
EgressColoName |
additional.fields.value.string_value(キーは EgressColoName) |
下り(外向き)コロケーションの名前。 |
EgressIP |
principal.ip、principal.asset.ip |
下り(外向き)IP アドレス。network.direction を OUTBOUND に設定します。 |
EgressPort |
principal.port |
下り(外向き)ポート。 |
EgressRuleID |
additional.fields.value.string_value(キーは EgressRuleID) |
下り(外向き)ルールの ID。 |
EgressRuleName |
additional.fields.value.string_value(キーは EgressRuleName) |
下り(外向き)ルールの名前。 |
FindingTypeDisplayName |
security_result.description |
検出結果のタイプの表示名。 |
FindingTypeID |
security_result.rule_id |
検出タイプの ID。 |
FindingTypeSeverity |
security_result.severity |
検出タイプの重大度。 |
FirewallMatchesActions |
security_result.action |
ファイアウォール ルールによって実行されるアクション。allow、Allow、ALLOW、skip、SKIP、Skip は、ALLOW にマッピングされます。challengeSolved と jschallengeSolved は ALLOW_WITH_MODIFICATION にマッピングされます。drop と block は BLOCK にマッピングされます。その他の値は UNKNOWN_ACTION にマッピングされます。 |
FirewallMatchesRuleIDs |
security_result.rule_id(最初の ID の場合)。後続の ID は新しい security_result オブジェクトを作成します。 |
一致したファイアウォール ルールの ID。 |
FirewallMatchesSources |
security_result.rule_name |
一致したファイアウォール ルールの送信元。 |
HTTPHost |
target.hostname |
HTTP ホスト。 |
HTTPMethod |
network.http.method |
HTTP メソッド。 |
HTTPVersion |
network.application_protocol |
値に「HTTP」が含まれている場合、network.application_protocol を HTTP に設定します。 |
ID |
metadata.product_log_id |
イベントの ID。 |
IngressColoName |
additional.fields.value.string_value(キーは IngressColoName) |
上り(内向き)コロケーションの名前。 |
InstanceID |
principal.resource.product_object_id |
インスタンスの ID。 |
IntegrationDisplayName |
additional.fields.value.string_value(キーは IntegrationDisplayName) |
インテグレーションの表示名。 |
IntegrationID |
metadata.product_deployment_id |
インテグレーションの ID。 |
IntegrationPolicyVendor |
additional.fields.value.string_value(キーは IntegrationPolicyVendor) |
インテグレーション ポリシーのベンダー。 |
IPAddress |
target.ip、target.asset.ip |
イベントに関連付けられた IP アドレス。 |
IsIsolated |
about.labels.value(キーは IsIsolated)、security_result.about.resource.attribute.labels.value(キーは IsIsolated) |
イベントが分離しているかどうか。 |
Location |
principal.location.name |
イベントに関連付けられている場所。 |
NewValue |
security_result.about.labels.value(キーは NewValue) |
更新後の新しい値。 |
Offramp |
additional.fields.value.string_value(キーは Offramp) |
接続で使用されるオフランプ。 |
OldValue |
security_result.about.labels.value(キーは OldValue) |
更新前の古い値。 |
OriginIP |
intermediary.ip、target.ip、target.asset.ip |
発信元の IP アドレス。 |
OriginPort |
target.port |
送信元ポート。 |
OriginResponseBytes |
additional.fields.value.string_value(キーは OriginResponseBytes) |
オリジン レスポンスのバイト数。 |
OriginResponseStatus |
additional.fields.value.string_value(キーは OriginResponseStatus) |
オリジン レスポンスのステータス コード。 |
OriginResponseTime |
additional.fields.value.string_value(キーは OriginResponseTime) |
配信元の応答時間。 |
OriginSSLProtocol |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
OriginTLSCertificateIssuer |
additional.fields.value.string_value(キーは OriginTLSCertificateIssuer) |
オリジン TLS 証明書の発行者。 |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value(キーは OriginTLSCertificateValidationResult) |
オリジン TLS 証明書の検証結果。 |
OriginTLSCipher |
additional.fields.value.string_value(キーは OriginTLSCipher) |
オリジン TLS 接続で使用される暗号。 |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value(キーは OriginTLSHandshakeDurationMs) |
オリジン TLS handshake の期間。 |
OriginTLSVersion |
additional.fields.value.string_value(キーは OriginTLSVersion) |
オリジンで使用される TLS バージョン。 |
OwnerID |
target.user.product_object_id |
オーナーの ID。 |
Policy |
security_result.rule_name |
イベントに関連付けられているポリシー。 |
PolicyID |
security_result.rule_id |
ポリシーの ID。 |
PolicyName |
security_result.rule_name |
ポリシーの名前。 |
Protocol |
network.application_protocol、network.ip_protocol |
接続で使用されるプロトコル。「tls」または「TLS」以外の場合は、大文字に変換され、network.application_protocol にマッピングされます。それ以外の場合は、インクルード ファイルを使用して解析され、network.ip_protocol にマッピングされます。 |
PurposeJustificationPrompt |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
PurposeJustificationResponse |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
QueryCategoryIDs |
security_result.about.labels.value、security_result.about.resource.attribute.labels.value(キーは QueryCategoryIDs) |
クエリ カテゴリの ID。 |
QueryName |
network.dns.questions.name |
DNS クエリの名前。metadata.event_type を NETWORK_DNS に、network.application_protocol を DNS に設定します。 |
QueryNameReversed |
network.dns.questions.name |
DNS クエリの反転名。 |
QuerySize |
network.sent_bytes |
クエリのサイズ。 |
QueryType |
network.dns.questions.type |
DNS クエリのタイプ。DNS クエリタイプコードに基づいて数値にマッピングされます。 |
RData |
network.dns.answers.type、network.dns.answers.data |
DNS レコードデータ。RData 配列の各要素は、新しい answer オブジェクトを作成します。 |
RayID |
metadata.product_log_id |
リクエストに関連付けられた Ray ID。 |
Referer |
network.http.referral_url |
参照 URL。 |
RequestID |
metadata.product_log_id |
リクエストの ID。 |
ResolverDecision |
security_result.summary |
リゾルバによる判断。 |
ResourceID |
target.resource.id、target.resource.product_object_id |
リソースの ID。 |
ResourceType |
target.resource.resource_subtype |
リソースのタイプ。 |
RuleEvaluationDurationMs |
additional.fields.value.string_value(キーは RuleEvaluationDurationMs) |
ルールの評価期間。 |
SNI |
network.tls.client.server_name |
TLS クライアント hello の Server Name Indication(SNI)。 |
SecurityAction |
security_result.action |
実施されたセキュリティ アクション。空の値または SecurityAction がない場合は、ALLOW にマッピングされます。challengeSolved または jschallengeSolved は ALLOW_WITH_MODIFICATION にマッピングされます。drop または block は BLOCK にマッピングされます。 |
SecurityLevel |
security_result.severity |
セキュリティ レベル。high は HIGH に、med は MEDIUM に、low は LOW にマッピングされます。 |
SessionEndTime |
additional.fields.value.string_value(キーは SessionEndTime) |
セッションの終了時刻。 |
SessionID |
network.session_id |
セッションの ID。 |
SessionStartTime |
metadata.event_timestamp |
セッションの開始時刻。 |
SourceIP |
principal.ip、principal.asset.ip、src.ip、src.asset.ip |
送信元 IP アドレス。 |
SourcePort |
principal.port、src.port |
ソースポート。 |
SrcIP |
principal.ip、principal.asset.ip |
送信元 IP アドレス。 |
SrcPort |
principal.port |
ソースポート。 |
TemporaryAccessDuration |
network.session_duration.seconds |
一時的なアクセス権の有効期間。 |
Timestamp |
metadata.event_timestamp |
イベントのタイムスタンプ。 |
Transport |
network.ip_protocol |
転送プロトコル。大文字に変換され、インクルード ファイルを使用して解析されます。 |
UploadedFileNames |
security_result.about.labels.value(キーは UploadedFileNames) |
アップロードされたファイルの名前。 |
URL |
target.url |
イベントに関連する URL。 |
UserAgent |
network.http.user_agent |
ユーザー エージェント文字列。また、解析されて network.http.parsed_user_agent にマッピングされます。 |
UserID |
principal.user.product_object_id、event.idm.read_only_udm.target.user.product_object_id |
ユーザの ID |
UserUID |
target.user.product_object_id |
ユーザーの UID。 |
VirtualNetworkID |
principal.resource.product_object_id |
仮想ネットワークの ID。 |
WAFAction |
security_result.about.labels.value(キーは WAFAction) |
ウェブ アプリケーション ファイアウォール(WAF)によって実行されたアクション。 |
WAFAttackScore |
security_result.about.resource.attribute.labels.value(キーは WAFAttackScore) |
WAF によって割り当てられた攻撃スコア。 |
WAFFlags |
security_result.about.resource.attribute.labels.value(キーは WAFFlags) |
WAF フラグ。 |
WAFMatchedVar |
(マッピングされていません) | IDM オブジェクトにはマッピングされません。 |
WAFProfile |
security_result.about.labels.value(キーは WAFProfile) |
WAF プロファイル。 |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value(キーは WAFRCEAttackScore) |
WAF リモートコード実行(RCE)攻撃スコア。 |
WAFRuleID |
security_result.threat_id、security_result.about.labels.value(キーは WAFRuleID) |
WAF ルールの ID。 |
WAFRuleMessage |
security_result.rule_name、security_result.threat_name |
WAF ルールに関連付けられたメッセージ。 |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value(キーは WAFSQLiAttackScore) |
WAF SQL インジェクション攻撃スコア。 |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value(キーは WAFXSSAttackScore) |
WAF クロスサイト スクリプティング(XSS)攻撃スコア。 |
ZoneID |
additional.fields.value.string_value(キーは ZoneID) |
ゾーン ID。 |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
イベントのタイプ。ログデータに基づいてパーサーによって設定されます。設定されていない場合、または NETWORK_DNS イベントにプリンシパルまたはターゲットがない場合、デフォルトは GENERIC_EVENT です。NETWORK_DNS、NETWORK_CONNECTION、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_RESOURCE_UPDATE_CONTENT、または GENERIC_EVENT のいずれかです。 |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
ログタイプ。「CLOUDFLARE」に設定します。 |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
プロダクトのデプロイ ID。 |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
プロダクトログ ID。 |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
プロダクト名。ログデータに基づいてパーサーによって設定されます。「Cloudflare Gateway DNS」、「Cloudflare Gateway HTTP」、「Cloudflare Audit」、「Web Application Firewall」を指定できます。 |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
ベンダー名。「Cloudflare」に設定します。 |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
イベントのタイムスタンプ。 |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
ネットワーク接続で使用されるアプリケーション プロトコル。 |
event.idm.read_only_udm.network.direction |
network.direction |
ネットワーク接続の方向。EgressIP と SourceIP が存在する場合は OUTBOUND に設定します。 |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
DNS Answer。 |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
DNS Question。 |
event.idm.read_only_udm.network.http.method |
network.http.method |
HTTP メソッド。 |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
解析されたユーザー エージェント。 |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
HTTP 参照 URL。 |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
HTTP レスポンス コード。 |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
HTTP ユーザー エージェント。 |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
IP プロトコル。 |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
受信したバイト数。 |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
送信したバイト数 |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
ネットワーク セッションの継続時間(秒単位)。 |
event.idm.read_only_udm.network.session_id |
network.session_id |
ネットワーク セッション ID。 |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
TLS 暗号スイート。 |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
TLS クライアント サーバー名。 |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
TLS バージョン。 |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
プリンシパル アセットに関連付けられたラベル。 |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
プリンシパル アセットのホスト名。 |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
プリンシパル アセットの IP アドレス。 |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
プリンシパル アセットの ID。 |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
プリンシパルのホスト名。 |
event.idm.read_only_udm.principal.ip |
principal.ip |
プリンシパルの IP アドレス。 |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
プリンシパルのロケーションの国または地域。 |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
プリンシパルのロケーションの名前。 |
event.idm.read_only_udm.principal.port |
principal.port |
プリンシパルが使用するポート。 |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
プリンシパルのリソースのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.principal.url |
principal.url |
プリンシパルに関連付けられた URL。 |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
プリンシパル ユーザーに関連付けられたラベル。 |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
プリンシパル ユーザーのメールアドレス。 |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
プリンシパル ユーザーの名。 |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
メインユーザーの姓。 |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
プリンシパル ユーザーのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
プリンシパル ユーザーのユーザー ID。 |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
プリンシパル ユーザーの表示名。 |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
ソースアセットの IP アドレス。 |
event.idm.read_only_udm.src.ip |
src.ip |
送信元の IP アドレス。 |
event.idm.read_only_udm.src.port |
src.port |
送信元のポート。 |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
ターゲットの管理ドメイン。 |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
ターゲット アセットのホスト名。 |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
ターゲット アセットの IP アドレス。 |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
ターゲット ファイルの MIME タイプ。 |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
ターゲット ファイルの MD5 ハッシュ。 |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
ターゲット ファイルの SHA1 ハッシュ。 |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
ターゲット ファイルの SHA256 ハッシュ。 |
event.idm.read_only_udm.target.file.size |
target.file.size |
ターゲット ファイルのサイズ。 |
event.idm.read_only_udm.target.hostname |
target.hostname |
ターゲットのホスト名。 |
event.idm.read_only_udm.target.ip |
target.ip |
ターゲットの IP アドレス。 |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
ターゲットのロケーションの国または地域。 |
event.idm.read_only_udm.target.port |
target.port |
ターゲットのポート。 |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
ターゲット リソースに関連付けられたラベル。 |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
ターゲット リソースの ID。 |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
ターゲット リソースのプロダクト オブジェクト ID。 |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
ターゲット リソースのリソース サブタイプ。 |
event.idm.read_only_udm.target.url |
target.url |
ターゲットの URL。 |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
ターゲット ユーザーのメールアドレス。 |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
対象ユーザーの商品オブジェクト ID。 |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
セキュリティ結果に関連するファイルのフルパス。 |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
セキュリティ結果に関連付けられたラベル。 |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
セキュリティ結果のリソースに関連付けられたラベル。 |
event.idm.read_only_udm.security_result.action |
security_result.action |
セキュリティ結果で実行されたアクション。 |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
セキュリティ結果の検出フィールド。 |
event.idm.read_only_udm.security_result.description |
security_result.description |
セキュリティ結果の説明。 |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
セキュリティ結果のルール ID。 |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
セキュリティ結果のルール名。 |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
セキュリティ結果の重大度。 |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
セキュリティ結果の概要。 |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
セキュリティ結果の脅威 ID。 |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
セキュリティ結果の脅威名。 |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
認証タイプ。ログイン イベントとログアウト イベントの場合は MACHINE に設定します。 |
event.idm.read_only_udm.about |
about |
情報について。 |
event.idm.read_only_udm.additional.fields |
additional.fields |
その他のフィールド。 |
event.idm.read_only_udm.intermediary |
intermediary |
仲介業者の情報。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。