Collecter les journaux osquery

Compatible avec:

Ce document explique comment collecter des journaux osquery en configurant osquery et un transfert Google Security Operations. Ce document liste également les types de journaux et les versions d'osquery compatibles.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Présentation

Le schéma d'architecture de déploiement suivant montre comment les agents osquery et le serveur Fleet sont configurés pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut différer de cette représentation et être plus complexe.

Architecture de déploiement

Le schéma d'architecture présente les composants suivants:

  • Système Linux: système Linux à surveiller sur lequel l'agent osquery est installé

  • Système Microsoft Windows: système Microsoft Windows à surveiller sur lequel l'agent osquery est installé

  • Système Mac: système Mac à surveiller dans lequel l'agent osquery est installé

  • Agent osquery: collecte des informations à partir du système Microsoft Windows, Linux ou Mac, puis les transfère au serveur Fleet.

  • Serveur de parc: surveille et reçoit des informations des agents osquery, analyse les journaux et les transfère au transmetteur Google Security Operations.

  • Transmetteur Google Security Operations: composant logiciel léger déployé sur le réseau du client pour transmettre les journaux à Google Security Operations

  • Google Security Operations: conserve et analyse les journaux du serveur Fleet

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion OSQUERY_EDR.

Avant de commencer

  • Installez le serveur Fleet. Pour installer Fleet Server, procédez comme suit:

  • Utilisez une version d'osquery compatible avec l'analyseur Google Security Operations, à savoir les versions 5.2.3 et 5.3.0.

  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

  • Assurez-vous que les noms des tables dans Fleet correspondent à ceux indiqués dans la documentation officielle de Fleet.

Configurer l'agent, le serveur et le forwarder Google Security Operations d'osquery

Pour configurer le serveur Fleet et le forwarder Google Security Operations, procédez comme suit:

  1. Pour configurer le serveur Fleet, procédez comme suit:

    1. Installez et configurez MySQL.
    2. Installez et configurez Redis.
    3. Exécutez le serveur de flotte.
  2. Ajoutez des hôtes au serveur Fleet et installez l'agent osquery. Vous pouvez ajouter votre hôte au serveur Fleet avec un programme d'installation osquery. Le serveur Fleet permet de générer un programme d'installation osquery avec la commande de package fleetctl.

    1. Exécutez la commande de package fleetctl en installant l'outil de ligne de commande fleetctl.
    2. Installez l'agent osquery à l'aide de la commande de package fleetctl.

    Lorsque vous installez l'installateur osquery généré sur un hôte, celui-ci s'inscrit automatiquement dans l'instance de parc spécifiée.

  3. Récupérez les journaux de l'agent osquery. Pour créer une requête dans Fleet afin d'extraire les journaux, consultez Créer une requête. Pour planifier une requête, consultez Planifier une requête.

  4. Configurez le transfert Google Security Operations sur un appareil Linux central pour transférer les journaux vers le système Google Security Operations. Pour en savoir plus, consultez Installer et configurer le forwarder sur Linux. Voici un exemple de configuration d'un forwarder Google SecOps:

      - file:
          common:
            enabled: true
            data_type: OSQUERY_EDR
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          skip_seek_to_end: true
          file_path: <log_file_path>
    

Référence de mappage de champ

Cette section explique comment l'analyseur Google Security Operations mappe les champs de journal osquery aux champs du modèle de données unifié (UDM) de Google Security Operations pour le schéma et le système d'exploitation. Pour en savoir plus, consultez le schéma osquery pour la version 5.2.3 et la version 5.3.0.

account_policy_data

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma account_policy_data et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
uid principal.user.userid
creation_time principal.user.attribute.creation_time
failed_login_count principal.user.attribute.labels.key/value
failed_login_timestamp principal.user.attribute.labels.key/value
password_last_set_time principal.user.attribute.labels.key/value

ad_config

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma ad_config et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom

about.labels.key/value (obsolète)

additional.fields

domaine target.administrative_domain
option

about.labels.key (obsolète)

additional.fields.key

valeur

about.labels.value (obsolète)

additional.fields.value.string_value

alf

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
allow_signed_enabled

about.labels.key/value (obsolète)

additional.fields

firewall_unload

about.labels.key/value (obsolète)

additional.fields

global_state

about.labels.key/value (obsolète)

additional.fields

logging_enabled

about.labels.key/value (obsolète)

additional.fields

logging_option

about.labels.key/value (obsolète)

additional.fields

stealth_enabled

about.labels.key/value (obsolète)

additional.fields

version target.platform_version

alf_exceptions

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf_exceptions et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
state

about.labels.key/value (obsolète)

additional.fields

alf_explicit_auths

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf_explicit_auths et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
de diffusion inverse target.process.pid

app_schemes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma app_schemes et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
schéma

about.labels.key/value (obsolète)

additional.fields

handler

about.labels.key/value (obsolète)

additional.fields

activé

about.labels.key/value (obsolète)

additional.fields

external

about.labels.key/value (obsolète)

additional.fields

protégé

about.labels.key/value (obsolète)

additional.fields

apparmor_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma apparmor_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
type

about.labels.key/value (obsolète)

additional.fields

message metadata.description
temps

about.labels.key/value (obsolète)

additional.fields

uptime

about.labels.key/value (obsolète)

additional.fields

eid security_result.rule_id
apparmor security_result.action
opération

about.labels.key/value (obsolète)

additional.fields

parent target.process.parent_process.pid
profil

about.labels.key/value (obsolète)

additional.fields

nom

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
comm target.process.command_line
denied_mask

about.labels.key/value (obsolète)

additional.fields

capname

about.labels.key/value (obsolète)

additional.fields

fsuid target.user.attribute.labels.key/value
ouid target.user.attribute.labels.key/value
capacité

about.labels.key/value (obsolète)

additional.fields

requested_mask target.process.access_mask
info

about.labels.key/value (obsolète)

additional.fields

erreur security_result.summary
espace de noms

about.labels.key/value (obsolète)

additional.fields

étiquette

about.labels.key/value (obsolète)

additional.fields

apparmor_profiles

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma apparmor_profiles et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
nom target.resource.name
installer

about.labels.key/value (obsolète)

additional.fields

Standard

about.labels.key/value (obsolète)

additional.fields

sha1 target.file.sha1

d'e-commerce

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les applications de schéma et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom target.application
chemin d'accès target.file.full_path
bundle_executable

about.labels.key/value (obsolète)

additional.fields

bundle_identifier target.resource.product_object_id
bundle_name target.resource.name
bundle_short_version target.resource.attribute.labels.key/value
bundle_version target.resource.attribute.labels.key/value
bundle_package_type

about.labels.key/value (obsolète)

additional.fields

de production

about.labels.key/value (obsolète)

additional.fields

élément

about.labels.key/value (obsolète)

additional.fields

compilateur

about.labels.key/value (obsolète)

additional.fields

development_region about.location.country_or_region
display_name

about.labels.key/value (obsolète)

additional.fields

info_string

about.labels.key/value (obsolète)

additional.fields

minimum_system_version

about.labels.key/value (obsolète)

additional.fields

category

about.labels.key/value (obsolète)

additional.fields

applescript_enabled

about.labels.key/value (obsolète)

additional.fields

droits d'auteur

about.labels.key/value (obsolète)

additional.fields

last_opened_time target.file.last_seen_time

asl

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma asl et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
temps

about.labels.key/value (obsolète)

additional.fields

time_nano_sec

about.labels.key/value (obsolète)

additional.fields

hôte target.hostname
sender

about.labels.key/value (obsolète)

additional.fields

installation

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
gid target.user.group_identifiers
uid target.user.userid
level

about.labels.key/value (obsolète)

additional.fields

message metadata.description
ref_pid

about.labels.key/value (obsolète)

additional.fields

ref_proc

about.labels.key/value (obsolète)

additional.fields

bonus

about.labels.key/value (obsolète)

additional.fields

Authenticode

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma authenticode et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
original_program_name

about.labels.key/value (obsolète)

additional.fields

serial_number network.tls.client.certificate.serial
issuer_name network.tls.client.certificate.issuer
subject_name network.tls.client.certificate.subject
résultat security_result.summary

authorization_mechanisms

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma authorization_mechanisms et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
étiquette

about.labels.key/value (obsolète)

additional.fields

plugin

about.labels.key/value (obsolète)

additional.fields

mécanisme

about.labels.key/value (obsolète)

additional.fields

privilégiée

about.labels.key/value (obsolète)

additional.fields

entry

about.labels.key/value (obsolète)

additional.fields

autorisations

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les autorisations de schéma et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
étiquette

about.labels.key/value (obsolète)

additional.fields

modifiée

about.labels.key/value (obsolète)

additional.fields

allow_root

about.labels.key/value (obsolète)

additional.fields

délai avant expiration

about.labels.key/value (obsolète)

additional.fields

version

about.labels.key/value (obsolète)

additional.fields

tentatives

about.labels.key/value (obsolète)

additional.fields

authenticate_user

about.labels.key/value (obsolète)

additional.fields

partagés

about.labels.key/value (obsolète)

additional.fields

commentaire

about.labels.key/value (obsolète)

additional.fields

créé

about.labels.key/value (obsolète)

additional.fields

classe

about.labels.key/value (obsolète)

additional.fields

session_owner

about.labels.key/value (obsolète)

additional.fields

autoexec

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma autoexec et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
nom target.application
source target.resource.name

bitlocker_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bitlocker_info et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
device_id target.resource.product_object_id
drive_letter target.resource.name
persistent_volume_id

about.labels.key/value (obsolète)

additional.fields

conversion_status target.resource.attirbute.labels.key/value
protection_status target.resource.attirbute.labels.key/value
encryption_method target.resource.attirbute.labels.key/value
version metadata.product_version
percentage_encrypted target.resource.attirbute.labels.key/value
lock_status target.resource.attirbute.labels.key/value

bpf_process_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bpf_process_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
tid

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
parent target.process.parent_process.pid
uid principal.user.userid
gid principal.group.product_object_id
cid

about.labels.key/value (obsolète)

additional.fields

exit_code

about.labels.key/value (obsolète)

additional.fields

probe_error

about.labels.key/value (obsolète)

additional.fields

appel système

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.process.file.full_path
cwd

about.labels.key/value (obsolète)

additional.fields

cmdline target.process.command_line
duration

about.labels.key/value (obsolète)

additional.fields

json_cmdline

about.labels.key/value (obsolète)

additional.fields

ntime

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

bpf_socket_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bpf_socket_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
tid

about.labels.key/value (obsolète)

additional.fields

pid principal.process.pid
parent principal.process.parent_process.pid
uid principal.user.userid
gid principal.group.product_object_id
cid

about.labels.key/value (obsolète)

additional.fields

exit_code

about.labels.key/value (obsolète)

additional.fields

probe_error

about.labels.key/value (obsolète)

additional.fields

appel système

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.file.full_path
fd

about.labels.key/value (obsolète)

additional.fields

famille

about.labels.key/value (obsolète)

additional.fields

type

about.labels.key/value (obsolète)

additional.fields

protocol

about.labels.key/value (obsolète)

additional.fields

local_address principal.ip
remote_address target.ip
local_port principal.port
remote_port target.port
duration

about.labels.key/value (obsolète)

additional.fields

ntime

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

certificats

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les certificats de schéma et les OS macOS et Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
common_name

about.labels.key/value (obsolète)

additional.fields

subject network.tls.client.certificate.subject
issuer network.tls.client.certificate.issuer
ca

about.labels.key/value (obsolète)

additional.fields

self_signed

about.labels.key/value (obsolète)

additional.fields

not_valid_before network.tls.client.certificate.not_before
not_valid_after network.tls.client.certificate.not_after
signing_algorithm

about.labels.key/value (obsolète)

additional.fields

key_algorithm

about.labels.key/value (obsolète)

additional.fields

key_strength

about.labels.key/value (obsolète)

additional.fields

key_usage

about.labels.key/value (obsolète)

additional.fields

subject_key_id

about.labels.key/value (obsolète)

additional.fields

authority_key_id

about.labels.key/value (obsolète)

additional.fields

sha1 network.tls.client.certificate.sha1
chemin d'accès

about.labels.key/value (obsolète)

additional.fields

serial network.tls.client.certificate.serial
sid

about.labels.key/value (obsolète)

additional.fields

store_location

about.labels.key/value (obsolète)

additional.fields

store

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur principal.user.user_display_name
store_id

about.labels.key/value (obsolète)

additional.fields

chassis_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma chassis_info et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
audible_alarm

about.labels.key/value (obsolète)

additional.fields

breach_description security_result.description
chassis_types

about.labels.key/value (obsolète)

additional.fields

description metadata.description
cadenas

about.labels.key/value (obsolète)

additional.fields

fabricant principal.asset.hardware.manufacturer
modèle principal.asset.hardware.model
security_breach security_result.detection_fields.key/value
serial principal.asset.hardware.serial_number
smbios_tag

about.labels.key/value (obsolète)

additional.fields

sku

about.labels.key/value (obsolète)

additional.fields

état

about.labels.key/value (obsolète)

additional.fields

visible_alarm

about.labels.key/value (obsolète)

additional.fields

chrome_extensions

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma chrome_extensions et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
browser_type target.resource.attribute.labels.key/value
uid principal.user.userid
nom target.resource.name
profil target.resource.attribute.labels.key/value
profile_path target.resource.attribute.labels.key/value
referenced_identifier target.resource.attribute.labels.key/value
identifier target.resource.attribute.labels.key/value
version target.resource.attribute.labels.key/value
description target.resource.attribute.labels.key/value
default_locale target.resource.attribute.labels.key/value
current_locale target.resource.attribute.labels.key/value
update_url network.http.referral_url
Author (Auteur) target.resource.attribute.labels.key/value
persistant(e) target.resource.attribute.labels.key/value
chemin d'accès target.file.full_path
autorisations target.resource.attribute.labels.key/value
permissions_json target.resource.attribute.labels.key/value
optional_permissions target.resource.attribute.labels.key/value
optional_permissions_json target.resource.attribute.labels.key/value
manifest_hash target.resource.attribute.labels.key/value
référencé target.resource.attribute.labels.key/value
from_webstore target.resource.attribute.labels.key/value
state target.resource.attribute.labels.key/value
install_time target.resource.attribute.labels.key/value
install_timestamp target.resource.attribute.labels.key/value
manifest_json target.resource.attribute.labels.key/value
clé target.resource.attribute.labels.key/value

connectivité

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la connectivité du schéma et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
déconnecté

about.labels.key/value (obsolète)

additional.fields

ipv4_no_traffic

about.labels.key/value (obsolète)

additional.fields

ipv6_no_traffic

about.labels.key/value (obsolète)

additional.fields

ipv4_subnet

about.labels.key/value (obsolète)

additional.fields

ipv4_local_network

about.labels.key/value (obsolète)

additional.fields

ipv4_internet

about.labels.key/value (obsolète)

additional.fields

ipv6_subnet

about.labels.key/value (obsolète)

additional.fields

ipv6_local_network

about.labels.key/value (obsolète)

additional.fields

ipv6_internet

about.labels.key/value (obsolète)

additional.fields

cpu_info

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma cpu_info et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
device_id principal.asset.product_object_id
modèle principal.asset.hardware.model
fabricant principal.asset.hardware.manufacturer
processor_type

about.labels.key/value (obsolète)

additional.fields

disponibilité

about.labels.key/value (obsolète)

additional.fields

cpu_status

about.labels.key/value (obsolète)

additional.fields

number_of_cores principal.asset.hardware.cpu_number_cores
logical_processors

about.labels.key/value (obsolète)

additional.fields

address_width

about.labels.key/value (obsolète)

additional.fields

current_clock_speed principal.asset.hardware.cpu_clock_speed
max_clock_speed principal.asset.hardware.cpu_max_clock_speed
socket_designation

about.labels.key/value (obsolète)

additional.fields

plantages

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour les plantages de schéma et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
type

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
chemin d'accès target.process.file.full_path
crash_path target.file.full_path
identifier

about.labels.key/value (obsolète)

additional.fields

version

about.labels.key/value (obsolète)

additional.fields

parent target.process.parent_process.pid
responsable

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
Date/Heure metadata.event_timestamp
crashed_thread

about.labels.key/value (obsolète)

additional.fields

stack_trace

about.labels.key/value (obsolète)

additional.fields

exception_type

about.labels.key/value (obsolète)

additional.fields

exception_codes

about.labels.key/value (obsolète)

additional.fields

exception_notes

about.labels.key/value (obsolète)

additional.fields

registres

about.labels.key/value (obsolète)

additional.fields

crontab

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma crontab et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
event

about.labels.key/value (obsolète)

additional.fields

minute

about.labels.key/value (obsolète)

additional.fields

heure

about.labels.key/value (obsolète)

additional.fields

day_of_month

about.labels.key/value (obsolète)

additional.fields

mois

about.labels.key/value (obsolète)

additional.fields

day_of_week

about.labels.key/value (obsolète)

additional.fields

commande principal.process.command_line
chemin d'accès principal.process.file.full_path
pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

curl

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma curl et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
url network.http.referral_url
méthode network.http.method
user_agent network.http.user_agent
response_code network.http.response_code
round_trip_time network.session_duration
bytes network.received_bytes
résultat

about.labels.key/value (obsolète)

additional.fields

curl_certificate

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma curl_certificate et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom d'hôte principal.hostname
common_name

about.labels.key/value (obsolète)

additional.fields

organisation network.organization_name
organization_unit

about.labels.key/value (obsolète)

additional.fields

serial_number network.tls.server.certificate.serial
issuer_common_name

about.labels.key/value (obsolète)

additional.fields

issuer_organization network.tls.server.certificate.issuer
issuer_organization_unit

about.labels.key/value (obsolète)

additional.fields

valid_from network.tls.server.certificate.not_before
valid_to network.tls.server.certificate.not_after
sha256_fingerprint network.tls.server.certificate.sha256
sha1_fingerprint network.tls.server.certificate.sha1
version network.tls.server.certificate.version
signature_algorithm

about.labels.key/value (obsolète)

additional.fields

signature

about.labels.key/value (obsolète)

additional.fields

subject_key_identifier

about.labels.key/value (obsolète)

additional.fields

authority_key_identifier

about.labels.key/value (obsolète)

additional.fields

key_usage

about.labels.key/value (obsolète)

additional.fields

extended_key_usage

about.labels.key/value (obsolète)

additional.fields

règles

about.labels.key/value (obsolète)

additional.fields

subject_alternative_names

about.labels.key/value (obsolète)

additional.fields

issuer_alternative_names

about.labels.key/value (obsolète)

additional.fields

info_access

about.labels.key/value (obsolète)

additional.fields

subject_info_access

about.labels.key/value (obsolète)

additional.fields

policy_mappings

about.labels.key/value (obsolète)

additional.fields

has_expired

about.labels.key/value (obsolète)

additional.fields

basic_constraint

about.labels.key/value (obsolète)

additional.fields

name_constraints

about.labels.key/value (obsolète)

additional.fields

policy_constraints

about.labels.key/value (obsolète)

additional.fields

dump_certificate

about.labels.key/value (obsolète)

additional.fields

délai avant expiration

about.labels.key/value (obsolète)

additional.fields

pem

about.labels.key/value (obsolète)

additional.fields

device_file

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma device_file et les OS Linux, macOS, freebsd et Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
appareil

about.labels.key/value (obsolète)

additional.fields

partition

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.file.full_path
filename target.file.names
nœud d'index

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
gid target.group.product_object_id
Standard

about.labels.key/value (obsolète)

additional.fields

taille target.file.size
block_size

about.labels.key/value (obsolète)

additional.fields

atime

about.labels.key/value (obsolète)

additional.fields

mtime target.file.last_modification_time
ctime

about.labels.key/value (obsolète)

additional.fields

hard_links

about.labels.key/value (obsolète)

additional.fields

type

about.labels.key/value (obsolète)

additional.fields

device_hash

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma device_hash et les OS Linux, macOS, freebsd et Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
appareil target.file.full_path
partition

about.labels.key/value (obsolète)

additional.fields

nœud d'index

about.labels.key/value (obsolète)

additional.fields

md5 target.file.md5
sha1 target.file.sha1
sha256 target.file.sha56

disk_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma disk_info et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
partitions principal.asset.attribute.labels.key/value
disk_index principal.asset.attribute.labels.key/value
type principal.asset.attribute.labels.key/value
id principal.asset.product_object_id
pnp_device_id

about.labels.key/value (obsolète)

additional.fields

disk_size principal.asset.attribute.labels.key/value
fabricant principal.asset.hardware.manufacturer
hardware_model principal.asset.hardware.model
nom principal.asset.attribute.labels.key/value
serial principal.asset.hardware.serial_number
description principal.asset.attribute.labels.key/value

dns_cache

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma dns_cache et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom network.dns.additional.name
type

about.labels.key/value (obsolète)

additional.fields

flags

about.labels.key/value (obsolète)

additional.fields

dns_resolvers

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma dns_resolvers et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id

about.labels.key/value (obsolète)

additional.fields

type

about.labels.key/value (obsolète)

additional.fields

address principal.ip
netmask

about.labels.key/value (obsolète)

additional.fields

options

about.labels.key/value (obsolète)

additional.fields

pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

docker_container_networks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_networks et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.asset.product_object_id
nom network.carrier_name
network_id

about.labels.key/value (obsolète)

additional.fields

ID du point de terminaison

about.labels.key/value (obsolète)

additional.fields

passerelle

about.labels.key/value (obsolète)

additional.fields

ip_address target.ip
ip_prefix_len

about.labels.key/value (obsolète)

additional.fields

ipv6_gateway

about.labels.key/value (obsolète)

additional.fields

ipv6_address target.ip
ipv6_prefix_len

about.labels.key/value (obsolète)

additional.fields

mac_address target.mac

docker_container_ports

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_ports et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.asset.product_object_id
type network.ip_protocol
port target.port
host_ip principal.ip
host_port principal.port

docker_container_processes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_processes et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.asset.product_object_id
pid target.process.pid
nom target.process.file.full_path
cmdline target.process.command_line
state

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
gid target.group.product_object_id
euid target.user.attribute.labels.key/value
egid target.group.attribute.labels.key/value
suid target.user.attribute.labels.key/value
sgid target.group.attribute.labels.key/value
wired_size

about.labels.key/value (obsolète)

additional.fields

resident_size

about.labels.key/value (obsolète)

additional.fields

total_size

about.labels.key/value (obsolète)

additional.fields

start_time

about.labels.key/value (obsolète)

additional.fields

parent target.process.parent_process.pid
pgroup

about.labels.key/value (obsolète)

additional.fields

threads

about.labels.key/value (obsolète)

additional.fields

nice

about.labels.key/value (obsolète)

additional.fields

utilisateur target.user.user_display_name
temps

about.labels.key/value (obsolète)

additional.fields

processeur

about.labels.key/value (obsolète)

additional.fields

Mém.

about.labels.key/value (obsolète)

additional.fields

docker_container_stats

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma docker_container_stats et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.resource.product_object_id
nom target.resource.name
pids

about.labels.key/value (obsolète)

additional.fields

read

about.labels.key/value (obsolète)

additional.fields

prélecture

about.labels.key/value (obsolète)

additional.fields

intervalle

about.labels.key/value (obsolète)

additional.fields

disk_read

about.labels.key/value (obsolète)

additional.fields

disk_write

about.labels.key/value (obsolète)

additional.fields

num_procs

about.labels.key/value (obsolète)

additional.fields

cpu_total_usage

about.labels.key/value (obsolète)

additional.fields

cpu_kernelmode_usage

about.labels.key/value (obsolète)

additional.fields

cpu_usermode_usage

about.labels.key/value (obsolète)

additional.fields

system_cpu_usage

about.labels.key/value (obsolète)

additional.fields

online_cpus

about.labels.key/value (obsolète)

additional.fields

pre_cpu_total_usage

about.labels.key/value (obsolète)

additional.fields

pre_cpu_kernelmode_usage

about.labels.key/value (obsolète)

additional.fields

pre_cpu_usermode_usage

about.labels.key/value (obsolète)

additional.fields

pre_system_cpu_usage

about.labels.key/value (obsolète)

additional.fields

pre_online_cpus

about.labels.key/value (obsolète)

additional.fields

memory_usage

about.labels.key/value (obsolète)

additional.fields

memory_max_usage

about.labels.key/value (obsolète)

additional.fields

memory_limit

about.labels.key/value (obsolète)

additional.fields

network_rx_bytes

about.labels.key/value (obsolète)

additional.fields

network_tx_bytes

about.labels.key/value (obsolète)

additional.fields

docker_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_info et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.resource.product_object_id
Conteneurs

about.labels.key/value (obsolète)

additional.fields

containers_running

about.labels.key/value (obsolète)

additional.fields

containers_paused

about.labels.key/value (obsolète)

additional.fields

containers_stopped

about.labels.key/value (obsolète)

additional.fields

images

about.labels.key/value (obsolète)

additional.fields

storage_driver

about.labels.key/value (obsolète)

additional.fields

memory_limit

about.labels.key/value (obsolète)

additional.fields

swap_limit

about.labels.key/value (obsolète)

additional.fields

kernel_memory

about.labels.key/value (obsolète)

additional.fields

cpu_cfs_period

about.labels.key/value (obsolète)

additional.fields

cpu_cfs_quota

about.labels.key/value (obsolète)

additional.fields

cpu_shares

about.labels.key/value (obsolète)

additional.fields

cpu_set

about.labels.key/value (obsolète)

additional.fields

ipv4_forwarding

about.labels.key/value (obsolète)

additional.fields

bridge_nf_iptables

about.labels.key/value (obsolète)

additional.fields

bridge_nf_ip6tables

about.labels.key/value (obsolète)

additional.fields

oom_kill_disable

about.labels.key/value (obsolète)

additional.fields

logging_driver

about.labels.key/value (obsolète)

additional.fields

cgroup_driver

about.labels.key/value (obsolète)

additional.fields

kernel_version

about.labels.key/value (obsolète)

additional.fields

os

about.labels.key/value (obsolète)

additional.fields

os_type target.platform(enum)
architecture

about.labels.key/value (obsolète)

additional.fields

cpus

about.labels.key/value (obsolète)

additional.fields

mémoire

about.labels.key/value (obsolète)

additional.fields

http_proxy

about.labels.key/value (obsolète)

additional.fields

https_proxy

about.labels.key/value (obsolète)

additional.fields

no_proxy

about.labels.key/value (obsolète)

additional.fields

nom target.hostname
server_version target.platform_version
root_dir target.file.full_path

docker_network_labels

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_network_labels et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.resource.product_object_id
clé target.resource.attribute.labels.key/value
valeur

about.labels.key/value (obsolète)

additional.fields

docker_networks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_networks et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
id target.resource.product_object_id
nom

about.labels.key/value (obsolète)

additional.fields

pilote

about.labels.key/value (obsolète)

additional.fields

créé target.resource.attribute.creation_time
enable_ipv6

about.labels.key/value (obsolète)

additional.fields

sous-réseau

about.labels.key/value (obsolète)

additional.fields

passerelle

about.labels.key/value (obsolète)

additional.fields

ec2_instance_metadata

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ec2_instance_metadata et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
instance_id target.resource.product_object_id
instance_type

about.labels.key/value (obsolète)

additional.fields

architecture

about.labels.key/value (obsolète)

additional.fields

région target.location.country_or_region
availability_zone

about.labels.key/value (obsolète)

additional.fields

local_hostname target.hostname
local_ipv4 target.ip
mac target.mac
security_groups

about.labels.key/value (obsolète)

additional.fields

iam_arn

about.labels.key/value (obsolète)

additional.fields

ami_id

about.labels.key/value (obsolète)

additional.fields

reservation_id

about.labels.key/value (obsolète)

additional.fields

Identifiant du compte target.user.userid
ssh_public_key

about.labels.key/value (obsolète)

additional.fields

es_process_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma es_process_events et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
version target.platform_version
seq_num

about.labels.key/value (obsolète)

additional.fields

global_seq_num

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
chemin d'accès target.process.file.full_path
parent target.process.parent_process.pid
original_parent

about.labels.key/value (obsolète)

additional.fields

cmdline target.process.command_line
cmdline_count

about.labels.key/value (obsolète)

additional.fields

env

about.labels.key/value (obsolète)

additional.fields

env_count

about.labels.key/value (obsolète)

additional.fields

cwd

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
euid

about.labels.key/value (obsolète)

additional.fields

gid target.group.product_object_id
egid

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur target.user.user_display_name
signing_id

about.labels.key/value (obsolète)

additional.fields

team_id

about.labels.key/value (obsolète)

additional.fields

cdhash

about.labels.key/value (obsolète)

additional.fields

platform_binary

about.labels.key/value (obsolète)

additional.fields

exit_code

about.labels.key/value (obsolète)

additional.fields

child_pid

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

event_type

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

etc_hosts

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_hosts et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
address target.ip
noms d'hôte about.hostname
pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

etc_protocols

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_protocols et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom network.ip_protocol
Nombre

about.labels.key/value (obsolète)

additional.fields

Alias

about.labels.key/value (obsolète)

additional.fields

commentaire

about.labels.key/value (obsolète)

additional.fields

etc_services

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_services et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom target.resource.name
port target.port
protocol network.ip_protocol
aliases

about.labels.key/value (obsolète)

additional.fields

commentaire

about.labels.key/value (obsolète)

additional.fields

fichier

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le fichier de schéma et les OS macOS, Linux, Windows et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
répertoire

about.labels.key/value (obsolète)

additional.fields

filename target.file.names
nœud d'index

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
gid target.group.product_object_id
Standard

about.labels.key/value (obsolète)

additional.fields

appareil target.asset.asset_id
taille target.file.size
block_size

about.labels.key/value (obsolète)

additional.fields

atime target.file.last_seen_time
mtime target.file.last_modification_time
ctime

about.labels.key/value (obsolète)

additional.fields

btime

about.labels.key/value (obsolète)

additional.fields

hard_links

about.labels.key/value (obsolète)

additional.fields

symlink

about.labels.key/value (obsolète)

additional.fields

type

about.labels.key/value (obsolète)

additional.fields

attributes

about.labels.key/value (obsolète)

additional.fields

volume_serial

about.labels.key/value (obsolète)

additional.fields

file_id

about.labels.key/value (obsolète)

additional.fields

file_version

about.labels.key/value (obsolète)

additional.fields

product_version

about.labels.key/value (obsolète)

additional.fields

bsd_flags

about.labels.key/value (obsolète)

additional.fields

pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

mount_namespace_id

about.labels.key/value (obsolète)

additional.fields

file_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma file_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
opération

about.labels.key/value (obsolète)

additional.fields

pid principal.process.pid
ppid principal.process.parent_process.pid
temps

about.labels.key/value (obsolète)

additional.fields

exécutable

about.labels.key/value (obsolète)

additional.fields

partiel

about.labels.key/value (obsolète)

additional.fields

cwd

about.labels.key/value (obsolète)

additional.fields

chemin d'accès src.file.full_path
dest_path target.file.full_path
uid principal.user.userid
gid principal.group.product_object_id
auid

about.labels.key/value (obsolète)

additional.fields

euid

about.labels.key/value (obsolète)

additional.fields

egid

about.labels.key/value (obsolète)

additional.fields

fsuid

about.labels.key/value (obsolète)

additional.fields

fsgid

about.labels.key/value (obsolète)

additional.fields

suid

about.labels.key/value (obsolète)

additional.fields

sgid

about.labels.key/value (obsolète)

additional.fields

uptime

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

contrôleur d'accès

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le gatekeeper de schéma et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
assessments_enabled

about.labels.key/value (obsolète)

additional.fields

dev_id_enabled

about.labels.key/value (obsolète)

additional.fields

version target.asset.software.version
opaque_version

about.labels.key/value (obsolète)

additional.fields

gatekeeper_approved_apps

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma gatekeeper_approved_apps et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
exigence

about.labels.key/value (obsolète)

additional.fields

ctime

about.labels.key/value (obsolète)

additional.fields

mtime target.resource.attribute.last_update_time

groupes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les groupes de schémas et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
gid target.group.attribute.labels.key/value
gid_signed target.group.attribute.labels.key/value
groupname target.group.group_display_name
group_sid target.group.product_object_id
commentaire target.group.attribute.labels.key/value
is_hidden target.group.attribute.labels.key/value
pid_with_namespace target.group.attribute.labels.key/value

hardware_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma hardware_events et les OS Linux, macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
action security_result.action_details
chemin d'accès target.asset.attribute.labels.key/value
type target.asset.attribute.labels.key/value
pilote target.asset.attribute.labels.key/value
vendor target.asset.attribute.labels.key/value
vendor_id target.asset.attribute.labels.key/value
modèle target.asset.hardware.model
model_id target.asset.attribute.labels.key/value
serial target.asset.attribute.labels.key/value
Révision target.asset.attribute.labels.key/value
temps metadata.event_timestamp
eid metadata.product_log_id

hash

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le hachage de schéma et les OS macOS, Linux, Windows et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
répertoire

about.labels.key/value (obsolète)

additional.fields

md5 target.file.md5
sha1 target.file.sha1
sha256 target.file.sha256
pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

mount_namespace_id

about.labels.key/value (obsolète)

additional.fields

interface_addresses

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma interface_addresses et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
interface

about.labels.key/value (obsolète)

additional.fields

address target.ip
mask

about.labels.key/value (obsolète)

additional.fields

diffuser

about.labels.key/value (obsolète)

additional.fields

point_to_point

about.labels.key/value (obsolète)

additional.fields

type

about.labels.key/value (obsolète)

additional.fields

friendly_name

about.labels.key/value (obsolète)

additional.fields

interface_details

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma interface_details et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
interface

about.labels.key/value (obsolète)

additional.fields

mac target.mac
type

about.labels.key/value (obsolète)

additional.fields

mtu

about.labels.key/value (obsolète)

additional.fields

métrique

about.labels.key/value (obsolète)

additional.fields

flags

about.labels.key/value (obsolète)

additional.fields

ipackets

about.labels.key/value (obsolète)

additional.fields

opackets

about.labels.key/value (obsolète)

additional.fields

ioctets network.sent_bytes
ooctets network.received_bytes
ierrors

about.labels.key/value (obsolète)

additional.fields

oerrors

about.labels.key/value (obsolète)

additional.fields

idrops

about.labels.key/value (obsolète)

additional.fields

odrops

about.labels.key/value (obsolète)

additional.fields

collisions

about.labels.key/value (obsolète)

additional.fields

last_change

about.labels.key/value (obsolète)

additional.fields

link_speed

about.labels.key/value (obsolète)

additional.fields

pci_slot

about.labels.key/value (obsolète)

additional.fields

friendly_name

about.labels.key/value (obsolète)

additional.fields

description

about.labels.key/value (obsolète)

additional.fields

fabricant target.asset.hardware.manufacturer
connection_id

about.labels.key/value (obsolète)

additional.fields

connection_status

about.labels.key/value (obsolète)

additional.fields

activé

about.labels.key/value (obsolète)

additional.fields

physical_adapter

about.labels.key/value (obsolète)

additional.fields

speed

about.labels.key/value (obsolète)

additional.fields

service target.application
dhcp_enabled

about.labels.key/value (obsolète)

additional.fields

dhcp_lease_expires network.dhcp.lease_time_seconds
dhcp_lease_obtained

about.labels.key/value (obsolète)

additional.fields

dhcp_server network.dhcp.yiaddr
dns_domain network.dns.questions.name
dns_domain_suffix_search_order

about.labels.key/value (obsolète)

additional.fields

dns_host_name

about.labels.key/value (obsolète)

additional.fields

dns_server_search_order

about.labels.key/value (obsolète)

additional.fields

interface_ipv6

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma interface_ipv6 et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
interface

about.labels.key/value (obsolète)

additional.fields

hop_limit

about.labels.key/value (obsolète)

additional.fields

forwarding_enabled

about.labels.key/value (obsolète)

additional.fields

redirect_accept

about.labels.key/value (obsolète)

additional.fields

rtadv_accept

about.labels.key/value (obsolète)

additional.fields

iptables

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma iptables et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
filter_name

about.labels.key/value (obsolète)

additional.fields

chaîne

about.labels.key/value (obsolète)

additional.fields

stratégie

about.labels.key/value (obsolète)

additional.fields

cible

about.labels.key/value (obsolète)

additional.fields

protocol

about.labels.key/value (obsolète)

additional.fields

src_port src.port
dst_port target.port
src_ip src.ip
src_mask

about.labels.key/value (obsolète)

additional.fields

iniface

about.labels.key/value (obsolète)

additional.fields

iniface_mask

about.labels.key/value (obsolète)

additional.fields

dst_ip target.ip
dst_mask

about.labels.key/value (obsolète)

additional.fields

outiface

about.labels.key/value (obsolète)

additional.fields

outiface_mask

about.labels.key/value (obsolète)

additional.fields

correspondance

about.labels.key/value (obsolète)

additional.fields

paquets

about.labels.key/value (obsolète)

additional.fields

bytes network.received_bytes

kernel_panics

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma kernel_panics et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
temps

about.labels.key/value (obsolète)

additional.fields

registres

about.labels.key/value (obsolète)

additional.fields

frame_backtrace

about.labels.key/value (obsolète)

additional.fields

module_backtrace

about.labels.key/value (obsolète)

additional.fields

les dépendances

about.labels.key/value (obsolète)

additional.fields

nom target.process.command_line
os_version target.platform_version
kernel_version

about.labels.key/value (obsolète)

additional.fields

system_model target.asset.hardware.model
uptime

about.labels.key/value (obsolète)

additional.fields

last_loaded

about.labels.key/value (obsolète)

additional.fields

last_unloaded

about.labels.key/value (obsolète)

additional.fields

keychain_acls

Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour le schéma keychain_acls et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
keychain_path

about.labels.key/value (obsolète)

additional.fields

autorisations

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.file.full_path
description metadata.description
étiquette

about.labels.key/value (obsolète)

additional.fields

known_hosts

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma known_hosts et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
uid target.user.userid
clé

about.labels.key/value (obsolète)

additional.fields

key_file target.file.full_path

dernière

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma "last" et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom d'utilisateur target.user.user_display_name
tty

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
type

about.labels.key/value (obsolète)

additional.fields

type_name

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

hôte target.hostname

listening_ports

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma listening_ports et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pid target.process.pid
port target.port
protocol network.ip_protocol
famille

about.labels.key/value (obsolète)

additional.fields

address target.ip
fd

about.labels.key/value (obsolète)

additional.fields

socket

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.process.file.full_path
net_namespace

about.labels.key/value (obsolète)

additional.fields

logged_in_users

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma "logged_in_users" et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
type

about.labels.key/value (obsolète)

additional.fields

utilisateur target.user.userid
tty

about.labels.key/value (obsolète)

additional.fields

hôte target.hostname
temps

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
sid

about.labels.key/value (obsolète)

additional.fields

registry_hive

about.labels.key/value (obsolète)

additional.fields

logon_sessions

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma logon_sessions et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
logon_id

about.labels.key/value (obsolète)

additional.fields

utilisateur target.user.user_display_name
logon_domain

about.labels.key/value (obsolète)

additional.fields

authentication_package

about.labels.key/value (obsolète)

additional.fields

logon_type

about.labels.key/value (obsolète)

additional.fields

session_id network.session_id
logon_sid

about.labels.key/value (obsolète)

additional.fields

logon_time

about.labels.key/value (obsolète)

additional.fields

logon_server

about.labels.key/value (obsolète)

additional.fields

dns_domain_name network.dns_domain
upn

about.labels.key/value (obsolète)

additional.fields

logon_script

about.labels.key/value (obsolète)

additional.fields

profile_path target.file.full_path
home_directory

about.labels.key/value (obsolète)

additional.fields

home_directory_drive

about.labels.key/value (obsolète)

additional.fields

lxd_certificates

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma lxd_certificates et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom security_result.detection_fields.key/value
type security_result.detection_fields.key/value
fingerprint security_result.detection_fields.key/value
certificat security_result.detection_fields.key/value

lxd_networks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma lxd_networks et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom

about.labels.key/value (obsolète)

additional.fields

type

about.labels.key/value (obsolète)

additional.fields

géré

about.labels.key/value (obsolète)

additional.fields

ipv4_address

about.labels.key/value (obsolète)

additional.fields

ipv6_address

about.labels.key/value (obsolète)

additional.fields

used_by

about.labels.key/value (obsolète)

additional.fields

bytes_received network.received_bytes
bytes_sent network.sent_bytes
packets_received

about.labels.key/value (obsolète)

additional.fields

packets_sent

about.labels.key/value (obsolète)

additional.fields

hwaddr

about.labels.key/value (obsolète)

additional.fields

state

about.labels.key/value (obsolète)

additional.fields

mtu

about.labels.key/value (obsolète)

additional.fields

managed_policies

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma managed_policies et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
domaine target.administrative_domain
uuid

about.labels.key/value (obsolète)

additional.fields

nom

about.labels.key/value (obsolète)

additional.fields

valeur

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur target.user.user_display_name
manuel

about.labels.key/value (obsolète)

additional.fields

memory_devices

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma memory_devices et les OS Linux, macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
handle

about.labels.key/value (obsolète)

additional.fields

array_handle

about.labels.key/value (obsolète)

additional.fields

form_factor

about.labels.key/value (obsolète)

additional.fields

total_width

about.labels.key/value (obsolète)

additional.fields

data_width

about.labels.key/value (obsolète)

additional.fields

taille

about.labels.key/value (obsolète)

additional.fields

set

about.labels.key/value (obsolète)

additional.fields

device_locator

about.labels.key/value (obsolète)

additional.fields

bank_locator

about.labels.key/value (obsolète)

additional.fields

memory_type

about.labels.key/value (obsolète)

additional.fields

memory_type_details

about.labels.key/value (obsolète)

additional.fields

max_speed

about.labels.key/value (obsolète)

additional.fields

configured_clock_speed

about.labels.key/value (obsolète)

additional.fields

fabricant target.asset.hardware.manufacturer
serial_number target.asset.hardware.serial_number
asset_tag target.asset.asset_id
part_number

about.labels.key/value (obsolète)

additional.fields

min_voltage

about.labels.key/value (obsolète)

additional.fields

max_voltage

about.labels.key/value (obsolète)

additional.fields

configured_voltage

about.labels.key/value (obsolète)

additional.fields

ntdomains

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ntdomains et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom

about.labels.key/value (obsolète)

additional.fields

client_site_name

about.labels.key/value (obsolète)

additional.fields

dc_site_name

about.labels.key/value (obsolète)

additional.fields

dns_forest_name network.dns.questions.name
domain_controller_address target.ip
domain_controller_name

about.labels.key/value (obsolète)

additional.fields

domain_name target.administrative_domain
état

about.labels.key/value (obsolète)

additional.fields

ntfs_acl_permissions

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ntfs_acl_permissions et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
type

about.labels.key/value (obsolète)

additional.fields

compte principal

about.labels.key/value (obsolète)

additional.fields

accès

about.labels.key/value (obsolète)

additional.fields

inherited_from

about.labels.key/value (obsolète)

additional.fields

os_version

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma os_version et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom

about.labels.key/value (obsolète)

additional.fields

version principal.platform_version
majeur

about.labels.key/value (obsolète)

additional.fields

mineur

about.labels.key/value (obsolète)

additional.fields

patch principal.platform_patch_level
build

about.labels.key/value (obsolète)

additional.fields

platform (plate-forme) principal.platform
platform_like

about.labels.key/value (obsolète)

additional.fields

codename

about.labels.key/value (obsolète)

additional.fields

arch

about.labels.key/value (obsolète)

additional.fields

install_date

about.labels.key/value (obsolète)

additional.fields

pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

mount_namespace_id

about.labels.key/value (obsolète)

additional.fields

osquery_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma osquery_events et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom target.resource.name
diffuseur about.label.key/value
type about.label.key/value
abonnements about.label.key/value
en direct about.label.key/value
actualise about.label.key/value
actif about.label.key/value

sécurité

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les correctifs de schéma et le système d'exploitation Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
csname target.hostname
hotfix_id

about.labels.key/value (obsolète)

additional.fields

sous-titres

about.labels.key/value (obsolète)

additional.fields

description metadata.description
fix_comments

about.labels.key/value (obsolète)

additional.fields

installed_by

about.labels.key/value (obsolète)

additional.fields

install_date

about.labels.key/value (obsolète)

additional.fields

installed_on

about.labels.key/value (obsolète)

additional.fields

pci_devices

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma pci_devices et les OS Linux, macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pci_slot

principal.labels.key/value (obsolète)

additional.fields

pci_class

principal.labels.key/value (obsolète)

additional.fields

pilote

principal.labels.key/value (obsolète)

additional.fields

vendor

principal.labels.key/value (obsolète)

additional.fields

vendor_id

principal.labels.key/value (obsolète)

additional.fields

modèle principal.asset.hardware.model
model_id

principal.labels.key/value (obsolète)

additional.fields

sous-système

principal.labels.key/value (obsolète)

additional.fields

express

principal.labels.key/value (obsolète)

additional.fields

Thunderbolt

principal.labels.key/value (obsolète)

additional.fields

amovible

principal.labels.key/value (obsolète)

additional.fields

pci_class_id

principal.labels.key/value (obsolète)

additional.fields

pci_subclass_id

principal.labels.key/value (obsolète)

additional.fields

pci_subclass

principal.labels.key/value (obsolète)

additional.fields

subsystem_vendor_id

principal.labels.key/value (obsolète)

additional.fields

subsystem_vendor

principal.labels.key/value (obsolète)

additional.fields

subsystem_model_id

principal.labels.key/value (obsolète)

additional.fields

subsystem_model

principal.labels.key/value (obsolète)

additional.fields

tuyaux

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les canaux de schéma et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pid target.process.pid
nom target.resource.name
instances

about.labels.key/value (obsolète)

additional.fields

max_instances

about.labels.key/value (obsolète)

additional.fields

flags

about.labels.key/value (obsolète)

additional.fields

powershell_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma powershell_events et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
temps metadata.collected_timestamp
Date/Heure

about.labels.key/value (obsolète)

additional.fields

script_block_id

about.labels.key/value (obsolète)

additional.fields

script_block_count

about.labels.key/value (obsolète)

additional.fields

script_text

about.labels.key/value (obsolète)

additional.fields

script_name

about.labels.key/value (obsolète)

additional.fields

script_path target.file.full_path
cosine_similarity

about.labels.key/value (obsolète)

additional.fields

process_envs

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_envs et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pid target.process.pid
clé about.labels.key
valeur about.labels.value

process_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_events et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
version target.platform_version
seq_num

about.labels.key/value (obsolète)

additional.fields

global_seq_num

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
chemin d'accès target.file.full_path
parent target.process.parent_process.pid
original_parent

about.labels.key/value (obsolète)

additional.fields

cmdline target.process.command_line
cmdline_count

about.labels.key/value (obsolète)

additional.fields

env

about.labels.key/value (obsolète)

additional.fields

env_count

about.labels.key/value (obsolète)

additional.fields

cwd

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
euid

about.labels.key/value (obsolète)

additional.fields

gid target.group.product_object_id
egid

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur target.user.user_display_name
signing_id

about.labels.key/value (obsolète)

additional.fields

team_id

about.labels.key/value (obsolète)

additional.fields

cdhash

about.labels.key/value (obsolète)

additional.fields

platform_binary

about.labels.key/value (obsolète)

additional.fields

exit_code

about.labels.key/value (obsolète)

additional.fields

child_pid

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

event_type

about.labels.key/value (obsolète)

additional.fields

eid

about.labels.key/value (obsolète)

additional.fields

process_file_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_file_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
opération

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
ppid target.process.parent_process.pid
temps

about.labels.key/value (obsolète)

additional.fields

exécutable

about.labels.key/value (obsolète)

additional.fields

partiel

about.labels.key/value (obsolète)

additional.fields

cwd

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.file.full_path
dest_path

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
gid target.group.product_object_id
auid

about.labels.key/value (obsolète)

additional.fields

euid

about.labels.key/value (obsolète)

additional.fields

egid

about.labels.key/value (obsolète)

additional.fields

fsuid

about.labels.key/value (obsolète)

additional.fields

fsgid

about.labels.key/value (obsolète)

additional.fields

suid

about.labels.key/value (obsolète)

additional.fields

sgid

about.labels.key/value (obsolète)

additional.fields

uptime

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

process_open_sockets

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_open_sockets et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pid principal.process.pid
fd

about.labels.key/value (obsolète)

additional.fields

socket

about.labels.key/value (obsolète)

additional.fields

famille

about.labels.key/value (obsolète)

additional.fields

protocol

about.labels.key/value (obsolète)

additional.fields

local_address principal.ip
remote_address target.ip
local_port principal.port
remote_port target.port
chemin d'accès target.file.full_path
state

about.labels.key/value (obsolète)

additional.fields

net_namespace

about.labels.key/value (obsolète)

additional.fields

processes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les processus de schéma et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pid target.process.pid
nom

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.process.file.full_path
cmdline target.process.command_line
state target.process.attribute.labels.key/value
cwd

about.labels.key/value (obsolète)

additional.fields

racine

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
gid target.group.product_object_id
euid

about.labels.key/value (obsolète)

additional.fields

egid

about.labels.key/value (obsolète)

additional.fields

suid

about.labels.key/value (obsolète)

additional.fields

sgid

about.labels.key/value (obsolète)

additional.fields

on_disk

about.labels.key/value (obsolète)

additional.fields

wired_size

about.labels.key/value (obsolète)

additional.fields

resident_size

about.labels.key/value (obsolète)

additional.fields

total_size

about.labels.key/value (obsolète)

additional.fields

user_time

about.labels.key/value (obsolète)

additional.fields

system_time

about.labels.key/value (obsolète)

additional.fields

disk_bytes_read

about.labels.key/value (obsolète)

additional.fields

disk_bytes_written

about.labels.key/value (obsolète)

additional.fields

start_time

about.labels.key/value (obsolète)

additional.fields

parent target.process.parent_process.pid
pgroup

about.labels.key/value (obsolète)

additional.fields

threads

about.labels.key/value (obsolète)

additional.fields

nice

about.labels.key/value (obsolète)

additional.fields

elevated_token

about.labels.key/value (obsolète)

additional.fields

secure_process

about.labels.key/value (obsolète)

additional.fields

protection_type

about.labels.key/value (obsolète)

additional.fields

virtual_process

about.labels.key/value (obsolète)

additional.fields

elapsed_time

about.labels.key/value (obsolète)

additional.fields

handle_count

about.labels.key/value (obsolète)

additional.fields

percent_processor_time

about.labels.key/value (obsolète)

additional.fields

upid

about.labels.key/value (obsolète)

additional.fields

uppid

about.labels.key/value (obsolète)

additional.fields

cpu_type

about.labels.key/value (obsolète)

additional.fields

cpu_subtype

about.labels.key/value (obsolète)

additional.fields

programmes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les programmes de schéma et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom target.resource.name
version target.platform_version
install_location

about.labels.key/value (obsolète)

additional.fields

install_source

about.labels.key/value (obsolète)

additional.fields

langue

about.labels.key/value (obsolète)

additional.fields

diffuseur

about.labels.key/value (obsolète)

additional.fields

uninstall_string target.file.full_path
install_date

about.labels.key/value (obsolète)

additional.fields

identifying_number

about.labels.key/value (obsolète)

additional.fields

scheduled_tasks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma scheduled_tasks et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom target.resource.name
action security_result.action_details
chemin d'accès target.file.full_path
activé

about.labels.key/value (obsolète)

additional.fields

state

about.labels.key/value (obsolète)

additional.fields

(couche

about.labels.key/value (obsolète)

additional.fields

last_run_time

about.labels.key/value (obsolète)

additional.fields

next_run_time

about.labels.key/value (obsolète)

additional.fields

last_run_message

about.labels.key/value (obsolète)

additional.fields

last_run_code

about.labels.key/value (obsolète)

additional.fields

seccomp_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma seccomp_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
temps

about.labels.key/value (obsolète)

additional.fields

uptime

about.labels.key/value (obsolète)

additional.fields

auid

about.labels.key/value (obsolète)

additional.fields

uid target.user.userid
gid target.group.product_object_id
ses

about.labels.key/value (obsolète)

additional.fields

pid target.process.pid
comm

about.labels.key/value (obsolète)

additional.fields

exe target.file.full_path
sig

about.labels.key/value (obsolète)

additional.fields

arch

about.labels.key/value (obsolète)

additional.fields

appel système

about.labels.key/value (obsolète)

additional.fields

compat

about.labels.key/value (obsolète)

additional.fields

ip

about.labels.key/value (obsolète)

additional.fields

code

about.labels.key/value (obsolète)

additional.fields

seLinux_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma seLinux_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
type

about.labels.key/value (obsolète)

additional.fields

message metadata.description
temps

about.labels.key/value (obsolète)

additional.fields

uptime

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

shadow

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ombre de schéma et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
password_status

about.labels.key/value (obsolète)

additional.fields

hash_alg

about.labels.key/value (obsolète)

additional.fields

last_change

about.labels.key/value (obsolète)

additional.fields

min

about.labels.key/value (obsolète)

additional.fields

max

about.labels.key/value (obsolète)

additional.fields

avertissement

about.labels.key/value (obsolète)

additional.fields

inactif

about.labels.key/value (obsolète)

additional.fields

expire

about.labels.key/value (obsolète)

additional.fields

option

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur principal.user.user_display_name

shell_history

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma shell_history et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
uid principal.user.userid
temps

about.labels.key/value (obsolète)

additional.fields

commande principal.process.command_line
history_file principal.process.file.full_path

shimcache

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma shimcache et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
entry

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.file.full_path
modified_time target.file.last_modification_time
execution_flag

about.labels.key/value (obsolète)

additional.fields

signature

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la signature de schéma et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
hash_resources

about.labels.key/value (obsolète)

additional.fields

arch

about.labels.key/value (obsolète)

additional.fields

a signé target.file.pe_file.signature_info.verified
identifier target.file.pe_file.signature_info.signer
cdhash

about.labels.key/value (obsolète)

additional.fields

team_identifier

about.labels.key/value (obsolète)

additional.fields

Autorité

about.labels.key/value (obsolète)

additional.fields

sip_config

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma sip_config et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
config_flag

about.labels.key/value (obsolète)

additional.fields

activé

about.labels.key/value (obsolète)

additional.fields

enabled_nvram

about.labels.key/value (obsolète)

additional.fields

socket_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma socket_events et les OS Linux, macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
action security_result.action_details
pid target.process.pid
chemin d'accès target.process.file.full_path
fd

about.labels.key/value (obsolète)

additional.fields

auid target.user.userid
état

about.labels.key/value (obsolète)

additional.fields

famille

about.labels.key/value (obsolète)

additional.fields

protocol

about.labels.key/value (obsolète)

additional.fields

local_address principal.ip
remote_address target.ip
local_port principal.port
remote_port target.port
socket

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

uptime

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id
success

about.labels.key/value (obsolète)

additional.fields

sudoers

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma sudoers et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
source

about.labels.key/value (obsolète)

additional.fields

en-tête

about.labels.key/value (obsolète)

additional.fields

rule_details

about.labels.key/value (obsolète)

additional.fields

syslog_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma syslog_events et l'OS Linux:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
temps

about.labels.key/value (obsolète)

additional.fields

Date/Heure

about.labels.key/value (obsolète)

additional.fields

hôte target.hostname
de gravité, security_result.severity (enum)
installation

about.labels.key/value (obsolète)

additional.fields

tag

about.labels.key/value (obsolète)

additional.fields

message

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

system_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma system_info et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom d'hôte principal.administrative_domain
uuid

about.labels.key/value (obsolète)

additional.fields

cpu_type

about.labels.key/value (obsolète)

additional.fields

cpu_subtype

about.labels.key/value (obsolète)

additional.fields

cpu_brand

about.labels.key/value (obsolète)

additional.fields

cpu_physical_cores

about.labels.key/value (obsolète)

additional.fields

cpu_logical_cores principal.asset.hardware.cpu_number_cores
cpu_microcode

about.labels.key/value (obsolète)

additional.fields

physical_memory

about.labels.key/value (obsolète)

additional.fields

hardware_vendor

about.labels.key/value (obsolète)

additional.fields

hardware_model principal.asset.hardware.model
hardware_version

about.labels.key/value (obsolète)

additional.fields

hardware_serial principal.asset.hardware.serial_number
board_vendor

about.labels.key/value (obsolète)

additional.fields

board_model

about.labels.key/value (obsolète)

additional.fields

board_version

about.labels.key/value (obsolète)

additional.fields

board_serial

about.labels.key/value (obsolète)

additional.fields

computer_name

about.labels.key/value (obsolète)

additional.fields

local_hostname

about.labels.key/value (obsolète)

additional.fields

tpm_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma tpm_info et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
activé

about.labels.key/value (obsolète)

additional.fields

activé

about.labels.key/value (obsolète)

additional.fields

détenue

about.labels.key/value (obsolète)

additional.fields

manufacturer_version

about.labels.key/value (obsolète)

additional.fields

manufacturer_id

about.labels.key/value (obsolète)

additional.fields

manufacturer_name principal.aseet.hardware.manufacturer
product_name principal.resource.name
physical_presence_version

about.labels.key/value (obsolète)

additional.fields

spec_version

about.labels.key/value (obsolète)

additional.fields

usb_devices

Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma usb_devices et les OS Linux, macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
usb_address

about.labels.key/value (obsolète)

additional.fields

usb_port

about.labels.key/value (obsolète)

additional.fields

vendor

about.labels.key/value (obsolète)

additional.fields

vendor_id

about.labels.key/value (obsolète)

additional.fields

version

about.labels.key/value (obsolète)

additional.fields

modèle target.asset.hardware.model
model_id

about.labels.key/value (obsolète)

additional.fields

serial target.asset.hardware.serial_number
classe

about.labels.key/value (obsolète)

additional.fields

sous-classe

about.labels.key/value (obsolète)

additional.fields

protocol

about.labels.key/value (obsolète)

additional.fields

amovible

about.labels.key/value (obsolète)

additional.fields

user_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma user_events et les OS Linux, macOS et FreeBSD:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
uid principal.user.userid
auid principal.user.attribute.labels.key/value
pid target.process.pid
message metadata.description
type

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.file.full_path
address

about.labels.key/value (obsolète)

additional.fields

terminal

about.labels.key/value (obsolète)

additional.fields

temps metadata.collected_timestamp
uptime

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

user_groups

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma user_groups et les OS Linux, macOS et Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
uid principal.user.userid
gid principal.group.product_object_id

users

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour les utilisateurs du schéma et les OS macOS, Linux, Windows et freebsd:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
uid principal.user.userid
gid principal.user.group_identifiers(repeated)
uid_signed

about.labels.key/value (obsolète)

additional.fields

gid_signed

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur principal.user.user_display_name
description

about.labels.key/value (obsolète)

additional.fields

répertoire

about.labels.key/value (obsolète)

additional.fields

shell

about.labels.key/value (obsolète)

additional.fields

uuid principal.user.product_object_id
type

about.labels.key/value (obsolète)

additional.fields

is_hidden

about.labels.key/value (obsolète)

additional.fields

pid_with_namespace

about.labels.key/value (obsolète)

additional.fields

wifi_networks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma wifi_networks et l'OS macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
ssid

target.labels.key/value (obsolète)

additional.fields

network_name

target.labels.key/value (obsolète)

additional.fields

security_type

target.labels.key/value (obsolète)

additional.fields

last_connected

about.labels.key/value (obsolète)

additional.fields

point d'accès

about.labels.key/value (obsolète)

additional.fields

possibly_hidden

about.labels.key/value (obsolète)

additional.fields

itinérance

about.labels.key/value (obsolète)

additional.fields

roaming_profile

about.labels.key/value (obsolète)

additional.fields

captive_portal

about.labels.key/value (obsolète)

additional.fields

auto_login

target.labels.key/value (obsolète)

additional.fields

temporarily_disabled

target.labels.key/value (obsolète)

additional.fields

désactivé

target.labels.key/value (obsolète)

additional.fields

windows_crashes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_crashes et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
Date/Heure

about.labels.key/value (obsolète)

additional.fields

module

about.labels.key/value (obsolète)

additional.fields

chemin d'accès target.process.file.full_path
pid target.process.pid
tid

about.labels.key/value (obsolète)

additional.fields

version

about.labels.key/value (obsolète)

additional.fields

process_uptime

about.labels.key/value (obsolète)

additional.fields

stack_trace

about.labels.key/value (obsolète)

additional.fields

exception_code

about.labels.key/value (obsolète)

additional.fields

exception_message

about.labels.key/value (obsolète)

additional.fields

exception_address

about.labels.key/value (obsolète)

additional.fields

registres

about.labels.key/value (obsolète)

additional.fields

command_line target.process.command_line
current_directory

about.labels.key/value (obsolète)

additional.fields

nom d'utilisateur target.user.user_display_name
machine_name

about.labels.key/value (obsolète)

additional.fields

major_version

about.labels.key/value (obsolète)

additional.fields

minor_version

about.labels.key/value (obsolète)

additional.fields

build_number target.platform_version
type

about.labels.key/value (obsolète)

additional.fields

crash_path

about.labels.key/value (obsolète)

additional.fields

windows_eventlog

L'analyseur d'événements Windows (WINEVTLOG) mappe ces événements. Pour en savoir plus, consultez Collecter des données d'événement Microsoft Windows."

windows_events

L'analyseur d'événements Windows (WINEVTLOG) mappe ces événements. Pour en savoir plus, consultez Collecter des données d'événement Microsoft Windows.

windows_firewall_rules

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_firewall_rules et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom

about.labels.key/value (obsolète)

additional.fields

app_name target.application
action security_result.action (énumération)
activé

about.labels.key/value (obsolète)

additional.fields

regroupement

about.labels.key/value (obsolète)

additional.fields

direction network.direction
protocol network.ip_protocol
local_addresses principal.ip
remote_addresses target.ip
local_ports principal.port
remote_ports target.port
icmp_types_codes

about.labels.key/value (obsolète)

additional.fields

profile_domain

about.labels.key/value (obsolète)

additional.fields

profile_private

about.labels.key/value (obsolète)

additional.fields

profile_public

about.labels.key/value (obsolète)

additional.fields

service_name

about.labels.key/value (obsolète)

additional.fields

windows_security_center

Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma Windows_security_center et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
pare-feu security_result.detection_fields.key/value
autoupdate security_result.detection_fields.key/value
antivirus security_result.detection_fields.key/value
logiciel anti-espion security_result.detection_fields.key/value
internet_settings security_result.detection_fields.key/value
Windows_security_center_service security_result.detection_fields.key/value
user_account_control security_result.detection_fields.key/value

windows_security_products

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_security_products et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
type

about.labels.key/value (obsolète)

additional.fields

nom target.resource.name
state

about.labels.key/value (obsolète)

additional.fields

state_timestamp

about.labels.key/value (obsolète)

additional.fields

remediation_path

about.labels.key/value (obsolète)

additional.fields

signatures_up_to_date

about.labels.key/value (obsolète)

additional.fields

wmi_bios_info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma wmi_bios_info et l'OS Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
nom

about.labels.key/value (obsolète)

additional.fields

valeur

about.labels.key/value (obsolète)

additional.fields

yara

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma yara et les OS Linux, macOS, freebsd et Windows:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
chemin d'accès target.file.full_path
correspond à

about.labels.key/value (obsolète)

additional.fields

nombre

about.labels.key/value (obsolète)

additional.fields

sig_group security_result.detection_fields.key/value
sigfile security_result.detection_fields.key/value
sigrule security_result.detection_fields.key/value
chaînes

about.labels.key/value (obsolète)

additional.fields

tags

about.labels.key/value (obsolète)

additional.fields

sigurl security_result.detection_fields.key/value

yara_events

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma yara_events et les OS Linux, macOS:

Champ du journal Mappage UDM
metadata.event_type est mappé sur SETTING_MODIFICATION
target_path target.file.full_path
category

about.labels.key/value (obsolète)

additional.fields

action security_result.action_details
transaction_id security_result.detection_fields.key/value
correspond à

about.labels.key/value (obsolète)

additional.fields

nombre

about.labels.key/value (obsolète)

additional.fields

chaînes

about.labels.key/value (obsolète)

additional.fields

tags

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

eid metadata.product_log_id

Étape suivante