收集 Cloudflare 日志

支持的语言:

概览

此解析器可处理各种 Cloudflare 日志类型(DNS、HTTP、审核、零信任、CASB)。它首先会对常见字段进行标准化处理,然后根据 QueryNameActionID 等特定字段应用条件逻辑,以提取相关数据并将其映射到 UDM。它还可执行数据类型转换、IP 地址和哈希的 Grok 匹配,并处理嵌套的 JSON 载荷。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例。
  • 对 Google Cloud IAM 的特权访问权限。
  • 对 Google Cloud Storage 的特权访问权限。
  • 对 Cloudflare 的特权访问权限。

创建 Google Cloud 存储分区

  1. 登录 Google Cloud 控制台。

  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下每一步后,点击继续以继续执行后续步骤:

    1. 开始使用部分中,执行以下操作:

      1. 输入符合存储桶名称要求的唯一名称(例如 cloudflare-data)。
      2. 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储桶上启用分层命名空间
      1. 如需添加存储桶标签,请点击展开箭头以展开标签部分。
      2. 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      1. 选择位置类型
      2. 使用位置类型的下拉菜单选择一个位置,用于永久存储存储桶中的对象数据。
        1. 如果您选择双区域位置类型,还可以使用相关复选框选择启用增强型复制
      3. 如需设置跨存储桶复制,请展开设置跨存储桶复制部分。

    3. 为数据选择一个存储类别部分中,为存储桶选择默认存储类别,或者选择 Autoclass 对存储桶数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,选择强制执行禁止公开访问,然后为存储桶对象选择访问权限控制模型

    5. 选择如何保护对象数据部分中,执行以下操作:

      1. 数据保护下,选择您要为存储桶设置的任何选项。
      2. 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法

  5. 点击创建

创建 Google Cloud 服务账号

  1. 前往 IAM 和管理 > 服务账号
  2. 创建新的服务账号。
  3. 为其指定一个描述性名称(例如,cloudflare-logs)。
  4. 向您在上一步中创建的 GCS 存储桶授予具有 Storage Object Creator 角色的服务账号。
  5. 为服务账号创建服务账号密钥
  6. 下载服务账号的 JSON 密钥文件。请务必保证此文件的安全

启用 Cloudflare IAM 对 Google Cloud Storage 的访问权限

  1. 依次前往存储 > 浏览器 > 存储分区 > 权限
  2. 添加具有 Storage Object Admin 权限的成员 logpush@cloudflare-data.iam.gserviceaccount.com

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Cloudflare 日志)。
  5. 选择 Google Cloud Storage 作为来源类型
  6. 选择 Cloudflare 作为日志类型
  7. 点击获取服务账号作为 Chronicle 服务账号
  8. 点击下一步

  9. 为以下输入参数指定值:

    • 存储桶 URI:Google Cloud 存储桶网址,格式为 gs://my-bucket/<value>
    • URI is a(URI 是一个):选择目录(包括子目录)
    • 来源删除选项:根据您的偏好设置选择删除选项。

  10. 点击下一步

  11. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 存储桶 URIgs://my-bucket/<value> 格式的 Google Cloud 存储桶网址。
  • URI is a(URI 是一个):选择目录(包括子目录)

  • 来源删除选项:根据您的偏好设置选择删除选项。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

配置 Cloudflare 以将日志发送到 Google Cloud Storage

  1. 登录 Cloudflare 控制面板
  2. 选择要与 Logpush 搭配使用的企业账号或网域(也称为区域)。
  3. 依次前往分析和日志 > 日志推送
  4. 选择创建 Logpush 作业。
  5. 选择目标位置中,选择 Google Cloud Storage

  6. 输入或选择以下目的地详细信息:

    • 存储桶:GCS 存储桶名称
    • 路径:存储容器内的存储桶位置
    • 复选框:将日志整理到每日子文件夹中(推荐)

  7. 点击继续

  8. 所有权验证:

    1. Cloudflare 会向您的存储桶发送一个文件
    2. 复制并粘贴令牌:
      1. 登录 Google Cloud 控制台> 存储 > Cloudflare 存储桶
      2. 打开所有权质疑文件
      3. 复制所有权令牌
      4. Cloudflare 控制台中输入所有权令牌。
      5. 选择继续
    3. 选择要推送到存储桶的数据集

  9. 配置日志推送作业:

    1. 输入作业名称。
    2. 如果日志匹配下,您可以选择要在日志中包含和/或移除的事件。
    1. 发送以下字段:选择推送所有日志或有选择地选择要推送的日志

  10. 选择提交以完成配置。

UDM 映射表

日志字段 UDM 映射 逻辑
AccountID target.resource.idtarget.resource.product_object_id 与相应事件关联的账号 ID。
Action security_result.action 根据事件采取的行动。allowallowed* 结果为 ALLOWunknown 结果为 UNKNOWN_ACTION。其他值会导致结果为 BLOCK。对于访问日志,login 映射到 USER_LOGINlogout 映射到 USER_LOGOUT,如果存在电子邮件地址,则其他值映射到 USER_RESOURCE_ACCESS
ActionResult security_result.action 如果为 true,则映射到 ALLOW。如果为 false,则映射到 BLOCK。否则,映射到 UNKNOWN_ACTION
ActionType security_result.description 所执行操作的说明。
ActorEmail principal.user.email_addresses 发起事件的执行者的电子邮件地址。
ActorID principal.user.product_object_id 发起事件的参与者的 ID。
ActorIP principal.ipprincipal.asset.ip 发起事件的执行者的 IP 地址。
Allowed security_result.action 如果为 true,则映射到 ALLOW。否则,映射到 BLOCK
AppDomain target.administrative_domain 涉及相应事件的应用的网域。
AppUUID target.resource.product_object_id 涉及相应事件的应用的 UUID。
AssetDisplayName principal.asset.attribute.labels.value,其中键为 AssetDisplayName 相应资产的显示名称。
AssetExternalID principal.asset_id(以“Cloudflare:”为前缀) 相应资产的外部 ID。
AssetLink principal.url 与相应资产关联的链接。
AssetMetadata.agreedToTerms principal.user.attribute.labels.value,其中键为 agreedToTerms 用户是否同意相关条款。
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value,其中键为 changePasswordAtNextLogin 用户是否需要在下次登录时更改密码。
AssetMetadata.clientId principal.user.userid 资产元数据中的客户 ID。
AssetMetadata.customerId principal.user.userid 资产元数据中的客户 ID。
AssetMetadata.familyName principal.user.last_name 资产元数据中的用户姓氏。
AssetMetadata.givenName principal.user.first_name 资产元数据中用户的名字。
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value,其中键为 includeInGlobalAddressList 用户是否包含在全局地址列表中。
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value,其中键为 ipWhitelisted 用户是否已列入 IP 白名单。
AssetMetadata.isAdmin principal.user.attribute.labels.value,其中键为 isAdmin 用户是否为管理员。
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value,其中键为 isDelegatedAdmin 用户是否为委托管理员。
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value,其中键为 isEnforcedIn2Sv 是否强制用户启用两步验证。
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value,其中键为 isEnrolledIn2Sv 用户是否注册了两步验证。
AssetMetadata.kind (未映射) 未映射到 IDM 对象。
AssetMetadata.lastLoginTime principal.user.attribute.labels.value,其中键为 lastLoginTime 用户的上次登录时间。
AssetMetadata.login principal.user.userid 资产元数据中的登录名。
AssetMetadata.name.familyName principal.user.last_name 资产元数据中的姓氏。
AssetMetadata.name.fullName principal.user.user_display_name 资产元数据中的全名。
AssetMetadata.name.givenName principal.user.first_name 资产元数据中的名字。
AssetMetadata.nativeApp security_result.detection_fields.value,其中键为 nativeApp 应用是否为原生应用。
AssetMetadata.owner.id principal.user.userid 资产元数据中的所有者 ID。
AssetMetadata.primaryEmail principal.user.email_addresses 资产元数据中的主要电子邮件地址。
AssetMetadata.scopes (未映射) 未映射到 IDM 对象。
AssetMetadata.site_admin principal.user.attribute.labels.value,其中键为 site_admin 用户是否为网站管理员。
AssetMetadata.suspended principal.user.attribute.labels.value,其中键为 suspended 用户是否已被暂停。
AssetMetadata.url principal.url 资产元数据中的网址。
AssetMetadata.userKey principal.user.attribute.labels.value,其中键为 userKey 资产元数据中的用户密钥。
BlockedFileHash target.file.md5target.file.sha1target.file.sha256 被屏蔽文件的哈希值。使用 grok 进行解析,以提取 md5、sha1 或 sha256。
BlockedFileName security_result.about.file.full_path 被屏蔽文件的名称。
BlockedFileReason security_result.summary 屏蔽相应文件的原因。
BlockedFileSize target.file.size 被屏蔽文件的大小。
BotScore security_result.detection_fields.value,其中键为 BotScore 分配给请求的机器人得分。
BytesReceived network.received_bytes 接收的字节数。
BytesSent network.sent_bytes 发送的字节数。
CacheCacheStatus additional.fields.value.string_value,其中键为 CacheCacheStatus 缓存的状态。
CacheResponseBytes additional.fields.value.string_value,其中键为 CacheResponseBytes 缓存响应中的字节数。
CacheResponseStatus additional.fields.value.string_value,其中键为 CacheResponseStatus 缓存响应的状态代码。
ClientASN (未映射) 未映射到 IDM 对象。
ClientCountry principal.location.country_or_region 客户所在的国家/地区。
ClientDeviceType additional.fields.value.string_value,其中键为 ClientDeviceType 客户端设备的类型。
ClientIP principal.ipprincipal.asset.ip 客户的 IP 地址。
ClientRequestMethod network.http.method 客户端使用的 HTTP 请求方法。
ClientRequestHost target.hostnametarget.asset.hostname 客户端请求的主机名。
ClientRequestPath (未映射) 未映射到 IDM 对象。
ClientRequestProtocol network.application_protocol 客户端请求中使用的协议(例如 HTTP、HTTPS)。移除了协议版本。
ClientRequestReferer network.http.referral_url 客户端请求的引荐来源网址。
ClientRequestURI target.url(如果存在,则与 ClientRequestHost 结合使用) 客户端请求的 URI。
ClientRequestUserAgent network.http.user_agent 客户端请求的用户代理。还会解析并映射到 network.http.parsed_user_agent
ClientSSLCipher network.tls.cipher 客户端使用的 SSL 加密。
ClientSSLProtocol network.tls.version 客户端使用的 SSL 协议。
ClientSrcPort principal.port 客户端的来源端口。
ClientTCPHandshakeDurationMs additional.fields.value.string_value,其中键为 ClientTCPHandshakeDurationMs 客户端 TCP 握手的持续时间。
ClientTLSHandshakeDurationMs additional.fields.value.string_value,其中键为 ClientTLSHandshakeDurationMs 客户端 TLS 握手的时长。
ClientTLSVersion network.tls.version 客户端使用的 TLS 版本。
ColoID (未映射) 未映射到 IDM 对象。
Connection target.resource.attribute.labels.value,其中键为 Connection 连接类型(例如,saml)。
ConnectionCloseReason additional.fields.value.string_value,其中键为 ConnectionCloseReason 连接关闭的原因。
ConnectionReuse additional.fields.value.string_value,其中键为 ConnectionReuse 是否重复使用了连接。
Country target.location.country_or_region 与活动关联的国家/地区。
CreatedAt metadata.event_timestamp 事件创建的时间戳。
Datetime metadata.event_timestamp 活动的日期和时间。
DestinationIP target.iptarget.asset.ip 目标 IP 地址。
DestinationPort target.port 目标端口。
DestinationTunnelID additional.fields.value.string_value,其中键为 DestinationTunnelID 目标隧道的 ID。
DeviceID principal.asset_id(以“Cloudflare:”为前缀) 设备的 ID。
DeviceName principal.hostnameprincipal.asset.hostnameprincipal.asset.attribute.labels.value,其中键为 DeviceName 设备的名称。
DownloadedFileNames security_result.about.labels.value,其中键为 DownloadFileNames 已下载文件的名称。
DstIP target.iptarget.asset.ip 目标 IP 地址。
DstPort target.port 目标端口。
EdgeColoCode additional.fields.value.string_value,其中键为 EdgeColoCode Cloudflare 边缘位置代码。
EdgeColoID additional.fields.value.string_value,其中键为 EdgeColoID Cloudflare 边缘位置 ID。
EdgeEndTimestamp (未映射) 未映射到 IDM 对象。
EdgeResponseBytes network.received_bytes 来自边缘的响应中的字节数。
EdgeResponseContentType target.file.mime_type 边缘响应的内容类型。
EdgeResponseStatus network.http.response_code 边缘响应的状态代码。
EdgeServerIP target.iptarget.asset.ip 边缘服务器的 IP 地址。
EdgeStartTimestamp metadata.event_timestamp 边缘设备上请求的开始时间戳。
Email principal.user.email_addressestarget.user.email_addresses 与活动关联的电子邮件地址。
EgressColoName additional.fields.value.string_value,其中键为 EgressColoName 出站 colocation 的名称。
EgressIP principal.ipprincipal.asset.ip 出站 IP 地址。将 network.direction 设置为 OUTBOUND
EgressPort principal.port 出站端口。
EgressRuleID additional.fields.value.string_value,其中键为 EgressRuleID 出站流量规则的 ID。
EgressRuleName additional.fields.value.string_value,其中键为 EgressRuleName 出站规则的名称。
FindingTypeDisplayName security_result.description 发现结果类型的显示名称。
FindingTypeID security_result.rule_id 发现结果类型的 ID。
FindingTypeSeverity security_result.severity 相应发现结果类型的严重程度。
FirewallMatchesActions security_result.action 防火墙规则执行的操作。allowAllowALLOWskipSKIPSkip 映射到 ALLOWchallengeSolvedjschallengeSolved 映射到 ALLOW_WITH_MODIFICATIONdropblock 映射到 BLOCK。其他值映射到 UNKNOWN_ACTION
FirewallMatchesRuleIDs security_result.rule_id(对于第一个 ID),后续 ID 会创建新的 security_result 对象。 匹配的防火墙规则的 ID。
FirewallMatchesSources security_result.rule_name 匹配的防火墙规则的来源。
HTTPHost target.hostname HTTP 主机。
HTTPMethod network.http.method HTTP 方法。
HTTPVersion network.application_protocol 如果值包含“HTTP”,则将 network.application_protocol 设置为 HTTP
ID metadata.product_log_id 活动的 ID。
IngressColoName additional.fields.value.string_value,其中键为 IngressColoName 入站流量源数据中心的名称。
InstanceID principal.resource.product_object_id 实例的 ID。
IntegrationDisplayName additional.fields.value.string_value,其中键为 IntegrationDisplayName 集成的显示名称。
IntegrationID metadata.product_deployment_id 集成的 ID。
IntegrationPolicyVendor additional.fields.value.string_value,其中键为 IntegrationPolicyVendor 集成政策的供应商。
IPAddress target.iptarget.asset.ip 与相应事件相关联的 IP 地址。
IsIsolated about.labels.value,其中键为 IsIsolatedsecurity_result.about.resource.attribute.labels.value,其中键为 IsIsolated 事件是否已隔离。
Location principal.location.name 与活动相关联的地理位置。
NewValue security_result.about.labels.value,其中键为 NewValue 更新后的新值。
Offramp additional.fields.value.string_value,其中键为 Offramp 连接中使用的下行通道。
OldValue security_result.about.labels.value,其中键为 OldValue 更新之前的旧值。
OriginIP intermediary.iptarget.iptarget.asset.ip 来源 IP 地址。
OriginPort target.port 来源端口。
OriginResponseBytes additional.fields.value.string_value,其中键为 OriginResponseBytes 源响应中的字节数。
OriginResponseStatus additional.fields.value.string_value,其中键为 OriginResponseStatus 源响应的状态代码。
OriginResponseTime additional.fields.value.string_value,其中键为 OriginResponseTime 源服务器的响应时间。
OriginSSLProtocol (未映射) 未映射到 IDM 对象。
OriginTLSCertificateIssuer additional.fields.value.string_value,其中键为 OriginTLSCertificateIssuer 来源 TLS 证书的签发者。
OriginTLSCertificateValidationResult additional.fields.value.string_value,其中键为 OriginTLSCertificateValidationResult 源 TLS 证书验证的结果。
OriginTLSCipher additional.fields.value.string_value,其中键为 OriginTLSCipher 源 TLS 连接中使用的加密。
OriginTLSHandshakeDurationMs additional.fields.value.string_value,其中键为 OriginTLSHandshakeDurationMs 源 TLS 握手的时长。
OriginTLSVersion additional.fields.value.string_value,其中键为 OriginTLSVersion 来源使用的 TLS 版本。
OwnerID target.user.product_object_id 所有者的 ID。
Policy security_result.rule_name 与事件关联的政策。
PolicyID security_result.rule_id 政策的 ID。
PolicyName security_result.rule_name 政策的名称。
Protocol network.application_protocolnetwork.ip_protocol 连接中使用的协议。如果不是“tls”或“TLS”,则转换为大写并映射到 network.application_protocol。否则,使用 include 文件进行解析并映射到 network.ip_protocol
PurposeJustificationPrompt (未映射) 未映射到 IDM 对象。
PurposeJustificationResponse (未映射) 未映射到 IDM 对象。
QueryCategoryIDs security_result.about.labels.valuesecurity_result.about.resource.attribute.labels.value 其中键为 QueryCategoryIDs 查询类别的 ID。
QueryName network.dns.questions.name DNS 查询的名称。将 metadata.event_type 设置为 NETWORK_DNS,并将 network.application_protocol 设置为 DNS
QueryNameReversed network.dns.questions.name DNS 查询的反向名称。
QuerySize network.sent_bytes 查询的大小。
QueryType network.dns.questions.type DNS 查询的类型。根据 DNS 查询类型代码映射到数值。
RData network.dns.answers.typenetwork.dns.answers.data DNS 记录数据。RData 数组中的每个元素都会创建一个新的 answer 对象。
RayID metadata.product_log_id 与请求关联的 Ray ID。
Referer network.http.referral_url 引荐来源网址。
RequestID metadata.product_log_id 请求的 ID。
ResolverDecision security_result.summary 解决方做出的判定。
ResourceID target.resource.idtarget.resource.product_object_id 资源的 ID。
ResourceType target.resource.resource_subtype 资源的类型。
RuleEvaluationDurationMs additional.fields.value.string_value,其中键为 RuleEvaluationDurationMs 规则评估的持续时间。
SNI network.tls.client.server_name TLS 客户端问候中的服务器名称指示 (SNI)。
SecurityAction security_result.action 采取的安全措施。空值或没有 SecurityAction 映射到 ALLOWchallengeSolvedjschallengeSolved 映射到 ALLOW_WITH_MODIFICATIONdropblock 映射到 BLOCK
SecurityLevel security_result.severity 安全等级。high 映射到 HIGHmed 映射到 MEDIUMlow 映射到 LOW
SessionEndTime additional.fields.value.string_value,其中键为 SessionEndTime 会话的结束时间。
SessionID network.session_id 会话的 ID。
SessionStartTime metadata.event_timestamp 会话的开始时间。
SourceIP principal.ipprincipal.asset.ipsrc.ipsrc.asset.ip 来源 IP 地址。
SourcePort principal.portsrc.port 来源端口。
SrcIP principal.ipprincipal.asset.ip 来源 IP 地址。
SrcPort principal.port 来源端口。
TemporaryAccessDuration network.session_duration.seconds 临时访问权限的有效期。
Timestamp metadata.event_timestamp 事件的时间戳。
Transport network.ip_protocol 传输协议。转换为大写并使用 include 文件进行解析。
UploadedFileNames security_result.about.labels.value,其中键为 UploadedFileNames 已上传文件的名称。
URL target.url 涉及相应事件的网址。
UserAgent network.http.user_agent 用户代理字符串。还会解析并映射到 network.http.parsed_user_agent
UserID principal.user.product_object_idevent.idm.read_only_udm.target.user.product_object_id 用户的 ID。
UserUID target.user.product_object_id 用户的 UID。
VirtualNetworkID principal.resource.product_object_id 虚拟网络的 ID。
WAFAction security_result.about.labels.value,其中键为 WAFAction Web 应用防火墙 (WAF) 采取的操作。
WAFAttackScore security_result.about.resource.attribute.labels.value,其中键为 WAFAttackScore 由 WAF 分配的攻击得分。
WAFFlags security_result.about.resource.attribute.labels.value,其中键为 WAFFlags WAF 标志。
WAFMatchedVar (未映射) 未映射到 IDM 对象。
WAFProfile security_result.about.labels.value,其中键为 WAFProfile WAF 配置文件。
WAFRCEAttackScore security_result.about.resource.attribute.labels.value,其中键为 WAFRCEAttackScore WAF 远程代码执行 (RCE) 攻击得分。
WAFRuleID security_result.threat_idsecurity_result.about.labels.value 其中键为 WAFRuleID WAF 规则的 ID。
WAFRuleMessage security_result.rule_namesecurity_result.threat_name 与 WAF 规则关联的消息。
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value,其中键为 WAFSQLiAttackScore WAF SQL 注入攻击得分。
WAFXSSAttackScore security_result.about.resource.attribute.labels.value,其中键为 WAFXSSAttackScore WAF 跨站脚本攻击 (XSS) 得分。
ZoneID additional.fields.value.string_value,其中键为 ZoneID 可用区 ID。
event.idm.read_only_udm.metadata.event_type metadata.event_type 事件的类型。由解析器根据日志数据设置。如果未设置,或者 NETWORK_DNS 事件没有主账号或目标,则默认为 GENERIC_EVENT。可以是 NETWORK_DNSNETWORK_CONNECTIONUSER_LOGINUSER_LOGOUTUSER_RESOURCE_ACCESSUSER_RESOURCE_UPDATE_CONTENTGENERIC_EVENT
event.idm.read_only_udm.metadata.log_type metadata.log_type 日志类型,设置为“CLOUDFLARE”。
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id 商品部署 ID。
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id 商品日志 ID。
event.idm.read_only_udm.metadata.product_name metadata.product_name 商品名称。由解析器根据日志数据设置。可以是“Cloudflare Gateway DNS”“Cloudflare Gateway HTTP”“Cloudflare Audit”“Web Application Firewall”。
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name 供应商名称,设置为“Cloudflare”。
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp 事件的时间戳。
event.idm.read_only_udm.network.application_protocol network.application_protocol 网络连接中使用的应用协议。
event.idm.read_only_udm.network.direction network.direction 网络连接的方向。如果存在 EgressIPSourceIP,则设置为 OUTBOUND
event.idm.read_only_udm.network.dns.answers network.dns.answers DNS 回答。
event.idm.read_only_udm.network.dns.questions network.dns.questions DNS 问题。
event.idm.read_only_udm.network.http.method network.http.method HTTP 方法。
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent 已解析的用户代理。
event.idm.read_only_udm.network.http.referral_url network.http.referral_url HTTP 引荐来源网址。
event.idm.read_only_udm.network.http.response_code network.http.response_code HTTP 响应代码。
event.idm.read_only_udm.network.http.user_agent network.http.user_agent HTTP 用户代理。
event.idm.read_only_udm.network.ip_protocol network.ip_protocol IP 协议。
event.idm.read_only_udm.network.received_bytes network.received_bytes 接收的字节数。
event.idm.read_only_udm.network.sent_bytes network.sent_bytes 发送的字节数。
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds 网络会话的时长(以秒为单位)。
event.idm.read_only_udm.network.session_id network.session_id 网络会话 ID。
event.idm.read_only_udm.network.tls.cipher network.tls.cipher TLS 加密套件。
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name TLS 客户端服务器名称。
event.idm.read_only_udm.network.tls.version network.tls.version TLS 版本。
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels 与主要资产相关联的标签。
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname 主要资产的主机名。
event.idm.read_only_udm.principal.asset.ip principal.asset.ip 主资产的 IP 地址。
event.idm.read_only_udm.principal.asset_id principal.asset_id 主要资产的 ID。
event.idm.read_only_udm.principal.hostname principal.hostname 正文的主机名。
event.idm.read_only_udm.principal.ip principal.ip 主账号的 IP 地址。
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region 委托人所在国家或区域。
event.idm.read_only_udm.principal.location.name principal.location.name 主账号所在位置的名称。
event.idm.read_only_udm.principal.port principal.port 主账号使用的端口。
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id 主账号资源的商品对象 ID。
event.idm.read_only_udm.principal.url principal.url 与正文关联的网址。
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels 与主用户相关联的标签。
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses 主用户的电子邮件地址。
event.idm.read_only_udm.principal.user.first_name principal.user.first_name 主要用户的名字。
event.idm.read_only_udm.principal.user.last_name principal.user.last_name 主用户的姓氏。
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id 主用户的产品对象 ID。
event.idm.read_only_udm.principal.user.userid principal.user.userid 主用户的用户 ID。
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name 主用户的显示名称。
event.idm.read_only_udm.src.asset.ip src.asset.ip 来源资产的 IP 地址。
event.idm.read_only_udm.src.ip src.ip 来源的 IP 地址。
event.idm.read_only_udm.src.port src.port 来源的端口。
event.idm.read_only_udm.target.administrative_domain target.administrative_domain 目标的管理网域。
event.idm.read_only_udm.target.asset.hostname target.asset.hostname 目标资产的主机名。
event.idm.read_only_udm.target.asset.ip target.asset.ip 目标资产的 IP 地址。
event.idm.read_only_udm.target.file.mime_type target.file.mime_type 目标文件的 MIME 类型。
event.idm.read_only_udm.target.file.md5 target.file.md5 目标文件的 MD5 哈希值。
event.idm.read_only_udm.target.file.sha1 target.file.sha1 目标文件的 SHA1 哈希值。
event.idm.read_only_udm.target.file.sha256 target.file.sha256 目标文件的 SHA256 哈希值。
event.idm.read_only_udm.target.file.size target.file.size 目标文件的大小。
event.idm.read_only_udm.target.hostname target.hostname 目标的 hostname。
event.idm.read_only_udm.target.ip target.ip 目标的 IP 地址。
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region 目标位置所在的国家或区域。
event.idm.read_only_udm.target.port target.port 目标端口。
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels 与目标资源关联的标签。
event.idm.read_only_udm.target.resource.id target.resource.id 目标资源的 ID。
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id 目标资源的商品对象 ID。
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype 目标资源的资源子类型。
event.idm.read_only_udm.target.url target.url 目标的网址。
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses 目标用户的电子邮件地址。
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id 目标用户的产品对象 ID。
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path 安全结果中涉及的文件的完整路径。
event.idm.read_only_udm.security_result.about.labels security_result.about.labels 与安全结果关联的标签。
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels 安全结果中与资源关联的标签。
event.idm.read_only_udm.security_result.action security_result.action 安全性结果中采取的操作。
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields 安全结果中的检测字段。
event.idm.read_only_udm.security_result.description security_result.description 安全结果的说明。
event.idm.read_only_udm.security_result.rule_id security_result.rule_id 安全结果的规则 ID。
event.idm.read_only_udm.security_result.rule_name security_result.rule_name 安全结果的规则名称。
event.idm.read_only_udm.security_result.severity security_result.severity 安全结果的严重程度。
event.idm.read_only_udm.security_result.summary security_result.summary 安全结果摘要。
event.idm.read_only_udm.security_result.threat_id security_result.threat_id 安全结果的威胁 ID。
event.idm.read_only_udm.security_result.threat_name security_result.threat_name 安全结果的威胁名称。
event.idm.read_only_udm.extensions.auth.type extensions.auth.type 身份验证类型。对于登录和退出登录事件,请设置为 MACHINE
event.idm.read_only_udm.about about 关于信息。
event.idm.read_only_udm.additional.fields additional.fields 其他字段。
event.idm.read_only_udm.intermediary intermediary 中介信息。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。