Collecter les journaux osquery
Ce document explique comment collecter des journaux osquery en configurant osquery et un transfert Google Security Operations. Ce document liste également les types de journaux et les versions d'osquery compatibles.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Présentation
Le schéma d'architecture de déploiement suivant montre comment les agents osquery et le serveur Fleet sont configurés pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut différer de cette représentation et être plus complexe.
Le schéma d'architecture présente les composants suivants:
Système Linux: système Linux à surveiller sur lequel l'agent osquery est installé
Système Microsoft Windows: système Microsoft Windows à surveiller sur lequel l'agent osquery est installé
Système Mac: système Mac à surveiller dans lequel l'agent osquery est installé
Agent osquery: collecte des informations à partir du système Microsoft Windows, Linux ou Mac, puis les transfère au serveur Fleet.
Serveur de parc: surveille et reçoit des informations des agents osquery, analyse les journaux et les transfère au transmetteur Google Security Operations.
Transmetteur Google Security Operations: composant logiciel léger déployé sur le réseau du client pour transmettre les journaux à Google Security Operations
Google Security Operations: conserve et analyse les journaux du serveur Fleet
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion OSQUERY_EDR
.
Avant de commencer
Installez le serveur Fleet. Pour installer Fleet Server, procédez comme suit:
Utilisez une version d'osquery compatible avec l'analyseur Google Security Operations, à savoir les versions 5.2.3 et 5.3.0.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Assurez-vous que les noms des tables dans Fleet correspondent à ceux indiqués dans la documentation officielle de Fleet.
Configurer l'agent, le serveur et le forwarder Google Security Operations d'osquery
Pour configurer le serveur Fleet et le forwarder Google Security Operations, procédez comme suit:
Pour configurer le serveur Fleet, procédez comme suit:
Ajoutez des hôtes au serveur Fleet et installez l'agent osquery. Vous pouvez ajouter votre hôte au serveur Fleet avec un programme d'installation osquery. Le serveur Fleet permet de générer un programme d'installation osquery avec la commande de package fleetctl.
- Exécutez la commande de package fleetctl en installant l'outil de ligne de commande fleetctl.
- Installez l'agent osquery à l'aide de la commande de package fleetctl.
Lorsque vous installez l'installateur osquery généré sur un hôte, celui-ci s'inscrit automatiquement dans l'instance de parc spécifiée.
Récupérez les journaux de l'agent osquery. Pour créer une requête dans Fleet afin d'extraire les journaux, consultez Créer une requête. Pour planifier une requête, consultez Planifier une requête.
Configurez le transfert Google Security Operations sur un appareil Linux central pour transférer les journaux vers le système Google Security Operations. Pour en savoir plus, consultez Installer et configurer le forwarder sur Linux. Voici un exemple de configuration d'un forwarder Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Référence de mappage de champ
Cette section explique comment l'analyseur Google Security Operations mappe les champs de journal osquery aux champs du modèle de données unifié (UDM) de Google Security Operations pour le schéma et le système d'exploitation. Pour en savoir plus, consultez le schéma osquery pour la version 5.2.3 et la version 5.3.0.
account_policy_data
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma account_policy_data et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
uid | principal.user.userid |
creation_time | principal.user.attribute.creation_time |
failed_login_count | principal.user.attribute.labels.key/value |
failed_login_timestamp | principal.user.attribute.labels.key/value |
password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma ad_config et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | about.labels.key/value (obsolète) additional.fields |
domaine | target.administrative_domain |
option | about.labels.key (obsolète) additional.fields.key |
valeur | about.labels.value (obsolète) additional.fields.value.string_value |
alf
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
allow_signed_enabled | about.labels.key/value (obsolète) additional.fields |
firewall_unload | about.labels.key/value (obsolète) additional.fields |
global_state | about.labels.key/value (obsolète) additional.fields |
logging_enabled | about.labels.key/value (obsolète) additional.fields |
logging_option | about.labels.key/value (obsolète) additional.fields |
stealth_enabled | about.labels.key/value (obsolète) additional.fields |
version | target.platform_version |
alf_exceptions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf_exceptions et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
state | about.labels.key/value (obsolète) additional.fields |
alf_explicit_auths
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf_explicit_auths et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
de diffusion inverse | target.process.pid |
app_schemes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma app_schemes et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
schéma | about.labels.key/value (obsolète) additional.fields |
handler | about.labels.key/value (obsolète) additional.fields |
activé | about.labels.key/value (obsolète) additional.fields |
external | about.labels.key/value (obsolète) additional.fields |
protégé | about.labels.key/value (obsolète) additional.fields |
apparmor_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma apparmor_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
type | about.labels.key/value (obsolète) additional.fields |
message | metadata.description |
temps | about.labels.key/value (obsolète) additional.fields |
uptime | about.labels.key/value (obsolète) additional.fields |
eid | security_result.rule_id |
apparmor | security_result.action |
opération | about.labels.key/value (obsolète) additional.fields |
parent | target.process.parent_process.pid |
profil | about.labels.key/value (obsolète) additional.fields |
nom | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
comm | target.process.command_line |
denied_mask | about.labels.key/value (obsolète) additional.fields |
capname | about.labels.key/value (obsolète) additional.fields |
fsuid | target.user.attribute.labels.key/value |
ouid | target.user.attribute.labels.key/value |
capacité | about.labels.key/value (obsolète) additional.fields |
requested_mask | target.process.access_mask |
info | about.labels.key/value (obsolète) additional.fields |
erreur | security_result.summary |
espace de noms | about.labels.key/value (obsolète) additional.fields |
étiquette | about.labels.key/value (obsolète) additional.fields |
apparmor_profiles
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma apparmor_profiles et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
nom | target.resource.name |
installer | about.labels.key/value (obsolète) additional.fields |
Standard | about.labels.key/value (obsolète) additional.fields |
sha1 | target.file.sha1 |
d'e-commerce
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les applications de schéma et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | target.application |
chemin d'accès | target.file.full_path |
bundle_executable | about.labels.key/value (obsolète) additional.fields |
bundle_identifier | target.resource.product_object_id |
bundle_name | target.resource.name |
bundle_short_version | target.resource.attribute.labels.key/value |
bundle_version | target.resource.attribute.labels.key/value |
bundle_package_type | about.labels.key/value (obsolète) additional.fields |
de production | about.labels.key/value (obsolète) additional.fields |
élément | about.labels.key/value (obsolète) additional.fields |
compilateur | about.labels.key/value (obsolète) additional.fields |
development_region | about.location.country_or_region |
display_name | about.labels.key/value (obsolète) additional.fields |
info_string | about.labels.key/value (obsolète) additional.fields |
minimum_system_version | about.labels.key/value (obsolète) additional.fields |
category | about.labels.key/value (obsolète) additional.fields |
applescript_enabled | about.labels.key/value (obsolète) additional.fields |
droits d'auteur | about.labels.key/value (obsolète) additional.fields |
last_opened_time | target.file.last_seen_time |
asl
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma asl et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
temps | about.labels.key/value (obsolète) additional.fields |
time_nano_sec | about.labels.key/value (obsolète) additional.fields |
hôte | target.hostname |
sender | about.labels.key/value (obsolète) additional.fields |
installation | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
gid | target.user.group_identifiers |
uid | target.user.userid |
level | about.labels.key/value (obsolète) additional.fields |
message | metadata.description |
ref_pid | about.labels.key/value (obsolète) additional.fields |
ref_proc | about.labels.key/value (obsolète) additional.fields |
bonus | about.labels.key/value (obsolète) additional.fields |
Authenticode
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma authenticode et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
original_program_name | about.labels.key/value (obsolète) additional.fields |
serial_number | network.tls.client.certificate.serial |
issuer_name | network.tls.client.certificate.issuer |
subject_name | network.tls.client.certificate.subject |
résultat | security_result.summary |
authorization_mechanisms
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma authorization_mechanisms et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
étiquette | about.labels.key/value (obsolète) additional.fields |
plugin | about.labels.key/value (obsolète) additional.fields |
mécanisme | about.labels.key/value (obsolète) additional.fields |
privilégiée | about.labels.key/value (obsolète) additional.fields |
entry | about.labels.key/value (obsolète) additional.fields |
autorisations
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les autorisations de schéma et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
étiquette | about.labels.key/value (obsolète) additional.fields |
modifiée | about.labels.key/value (obsolète) additional.fields |
allow_root | about.labels.key/value (obsolète) additional.fields |
délai avant expiration | about.labels.key/value (obsolète) additional.fields |
version | about.labels.key/value (obsolète) additional.fields |
tentatives | about.labels.key/value (obsolète) additional.fields |
authenticate_user | about.labels.key/value (obsolète) additional.fields |
partagés | about.labels.key/value (obsolète) additional.fields |
commentaire | about.labels.key/value (obsolète) additional.fields |
créé | about.labels.key/value (obsolète) additional.fields |
classe | about.labels.key/value (obsolète) additional.fields |
session_owner | about.labels.key/value (obsolète) additional.fields |
autoexec
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma autoexec et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
nom | target.application |
source | target.resource.name |
bitlocker_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bitlocker_info et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
device_id | target.resource.product_object_id |
drive_letter | target.resource.name |
persistent_volume_id | about.labels.key/value (obsolète) additional.fields |
conversion_status | target.resource.attirbute.labels.key/value |
protection_status | target.resource.attirbute.labels.key/value |
encryption_method | target.resource.attirbute.labels.key/value |
version | metadata.product_version |
percentage_encrypted | target.resource.attirbute.labels.key/value |
lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bpf_process_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
tid | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
parent | target.process.parent_process.pid |
uid | principal.user.userid |
gid | principal.group.product_object_id |
cid | about.labels.key/value (obsolète) additional.fields |
exit_code | about.labels.key/value (obsolète) additional.fields |
probe_error | about.labels.key/value (obsolète) additional.fields |
appel système | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.process.file.full_path |
cwd | about.labels.key/value (obsolète) additional.fields |
cmdline | target.process.command_line |
duration | about.labels.key/value (obsolète) additional.fields |
json_cmdline | about.labels.key/value (obsolète) additional.fields |
ntime | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
bpf_socket_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bpf_socket_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
tid | about.labels.key/value (obsolète) additional.fields |
pid | principal.process.pid |
parent | principal.process.parent_process.pid |
uid | principal.user.userid |
gid | principal.group.product_object_id |
cid | about.labels.key/value (obsolète) additional.fields |
exit_code | about.labels.key/value (obsolète) additional.fields |
probe_error | about.labels.key/value (obsolète) additional.fields |
appel système | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.file.full_path |
fd | about.labels.key/value (obsolète) additional.fields |
famille | about.labels.key/value (obsolète) additional.fields |
type | about.labels.key/value (obsolète) additional.fields |
protocol | about.labels.key/value (obsolète) additional.fields |
local_address | principal.ip |
remote_address | target.ip |
local_port | principal.port |
remote_port | target.port |
duration | about.labels.key/value (obsolète) additional.fields |
ntime | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
certificats
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les certificats de schéma et les OS macOS et Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
common_name | about.labels.key/value (obsolète) additional.fields |
subject | network.tls.client.certificate.subject |
issuer | network.tls.client.certificate.issuer |
ca | about.labels.key/value (obsolète) additional.fields |
self_signed | about.labels.key/value (obsolète) additional.fields |
not_valid_before | network.tls.client.certificate.not_before |
not_valid_after | network.tls.client.certificate.not_after |
signing_algorithm | about.labels.key/value (obsolète) additional.fields |
key_algorithm | about.labels.key/value (obsolète) additional.fields |
key_strength | about.labels.key/value (obsolète) additional.fields |
key_usage | about.labels.key/value (obsolète) additional.fields |
subject_key_id | about.labels.key/value (obsolète) additional.fields |
authority_key_id | about.labels.key/value (obsolète) additional.fields |
sha1 | network.tls.client.certificate.sha1 |
chemin d'accès | about.labels.key/value (obsolète) additional.fields |
serial | network.tls.client.certificate.serial |
sid | about.labels.key/value (obsolète) additional.fields |
store_location | about.labels.key/value (obsolète) additional.fields |
store | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | principal.user.user_display_name |
store_id | about.labels.key/value (obsolète) additional.fields |
chassis_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma chassis_info et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
audible_alarm | about.labels.key/value (obsolète) additional.fields |
breach_description | security_result.description |
chassis_types | about.labels.key/value (obsolète) additional.fields |
description | metadata.description |
cadenas | about.labels.key/value (obsolète) additional.fields |
fabricant | principal.asset.hardware.manufacturer |
modèle | principal.asset.hardware.model |
security_breach | security_result.detection_fields.key/value |
serial | principal.asset.hardware.serial_number |
smbios_tag | about.labels.key/value (obsolète) additional.fields |
sku | about.labels.key/value (obsolète) additional.fields |
état | about.labels.key/value (obsolète) additional.fields |
visible_alarm | about.labels.key/value (obsolète) additional.fields |
chrome_extensions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma chrome_extensions et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
browser_type | target.resource.attribute.labels.key/value |
uid | principal.user.userid |
nom | target.resource.name |
profil | target.resource.attribute.labels.key/value |
profile_path | target.resource.attribute.labels.key/value |
referenced_identifier | target.resource.attribute.labels.key/value |
identifier | target.resource.attribute.labels.key/value |
version | target.resource.attribute.labels.key/value |
description | target.resource.attribute.labels.key/value |
default_locale | target.resource.attribute.labels.key/value |
current_locale | target.resource.attribute.labels.key/value |
update_url | network.http.referral_url |
Author (Auteur) | target.resource.attribute.labels.key/value |
persistant(e) | target.resource.attribute.labels.key/value |
chemin d'accès | target.file.full_path |
autorisations | target.resource.attribute.labels.key/value |
permissions_json | target.resource.attribute.labels.key/value |
optional_permissions | target.resource.attribute.labels.key/value |
optional_permissions_json | target.resource.attribute.labels.key/value |
manifest_hash | target.resource.attribute.labels.key/value |
référencé | target.resource.attribute.labels.key/value |
from_webstore | target.resource.attribute.labels.key/value |
state | target.resource.attribute.labels.key/value |
install_time | target.resource.attribute.labels.key/value |
install_timestamp | target.resource.attribute.labels.key/value |
manifest_json | target.resource.attribute.labels.key/value |
clé | target.resource.attribute.labels.key/value |
connectivité
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la connectivité du schéma et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
déconnecté | about.labels.key/value (obsolète) additional.fields |
ipv4_no_traffic | about.labels.key/value (obsolète) additional.fields |
ipv6_no_traffic | about.labels.key/value (obsolète) additional.fields |
ipv4_subnet | about.labels.key/value (obsolète) additional.fields |
ipv4_local_network | about.labels.key/value (obsolète) additional.fields |
ipv4_internet | about.labels.key/value (obsolète) additional.fields |
ipv6_subnet | about.labels.key/value (obsolète) additional.fields |
ipv6_local_network | about.labels.key/value (obsolète) additional.fields |
ipv6_internet | about.labels.key/value (obsolète) additional.fields |
cpu_info
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma cpu_info et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
device_id | principal.asset.product_object_id |
modèle | principal.asset.hardware.model |
fabricant | principal.asset.hardware.manufacturer |
processor_type | about.labels.key/value (obsolète) additional.fields |
disponibilité | about.labels.key/value (obsolète) additional.fields |
cpu_status | about.labels.key/value (obsolète) additional.fields |
number_of_cores | principal.asset.hardware.cpu_number_cores |
logical_processors | about.labels.key/value (obsolète) additional.fields |
address_width | about.labels.key/value (obsolète) additional.fields |
current_clock_speed | principal.asset.hardware.cpu_clock_speed |
max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
socket_designation | about.labels.key/value (obsolète) additional.fields |
plantages
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour les plantages de schéma et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
type | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
chemin d'accès | target.process.file.full_path |
crash_path | target.file.full_path |
identifier | about.labels.key/value (obsolète) additional.fields |
version | about.labels.key/value (obsolète) additional.fields |
parent | target.process.parent_process.pid |
responsable | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
Date/Heure | metadata.event_timestamp |
crashed_thread | about.labels.key/value (obsolète) additional.fields |
stack_trace | about.labels.key/value (obsolète) additional.fields |
exception_type | about.labels.key/value (obsolète) additional.fields |
exception_codes | about.labels.key/value (obsolète) additional.fields |
exception_notes | about.labels.key/value (obsolète) additional.fields |
registres | about.labels.key/value (obsolète) additional.fields |
crontab
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma crontab et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
event | about.labels.key/value (obsolète) additional.fields |
minute | about.labels.key/value (obsolète) additional.fields |
heure | about.labels.key/value (obsolète) additional.fields |
day_of_month | about.labels.key/value (obsolète) additional.fields |
mois | about.labels.key/value (obsolète) additional.fields |
day_of_week | about.labels.key/value (obsolète) additional.fields |
commande | principal.process.command_line |
chemin d'accès | principal.process.file.full_path |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
curl
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma curl et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
url | network.http.referral_url |
méthode | network.http.method |
user_agent | network.http.user_agent |
response_code | network.http.response_code |
round_trip_time | network.session_duration |
bytes | network.received_bytes |
résultat | about.labels.key/value (obsolète) additional.fields |
curl_certificate
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma curl_certificate et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom d'hôte | principal.hostname |
common_name | about.labels.key/value (obsolète) additional.fields |
organisation | network.organization_name |
organization_unit | about.labels.key/value (obsolète) additional.fields |
serial_number | network.tls.server.certificate.serial |
issuer_common_name | about.labels.key/value (obsolète) additional.fields |
issuer_organization | network.tls.server.certificate.issuer |
issuer_organization_unit | about.labels.key/value (obsolète) additional.fields |
valid_from | network.tls.server.certificate.not_before |
valid_to | network.tls.server.certificate.not_after |
sha256_fingerprint | network.tls.server.certificate.sha256 |
sha1_fingerprint | network.tls.server.certificate.sha1 |
version | network.tls.server.certificate.version |
signature_algorithm | about.labels.key/value (obsolète) additional.fields |
signature | about.labels.key/value (obsolète) additional.fields |
subject_key_identifier | about.labels.key/value (obsolète) additional.fields |
authority_key_identifier | about.labels.key/value (obsolète) additional.fields |
key_usage | about.labels.key/value (obsolète) additional.fields |
extended_key_usage | about.labels.key/value (obsolète) additional.fields |
règles | about.labels.key/value (obsolète) additional.fields |
subject_alternative_names | about.labels.key/value (obsolète) additional.fields |
issuer_alternative_names | about.labels.key/value (obsolète) additional.fields |
info_access | about.labels.key/value (obsolète) additional.fields |
subject_info_access | about.labels.key/value (obsolète) additional.fields |
policy_mappings | about.labels.key/value (obsolète) additional.fields |
has_expired | about.labels.key/value (obsolète) additional.fields |
basic_constraint | about.labels.key/value (obsolète) additional.fields |
name_constraints | about.labels.key/value (obsolète) additional.fields |
policy_constraints | about.labels.key/value (obsolète) additional.fields |
dump_certificate | about.labels.key/value (obsolète) additional.fields |
délai avant expiration | about.labels.key/value (obsolète) additional.fields |
pem | about.labels.key/value (obsolète) additional.fields |
device_file
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma device_file et les OS Linux, macOS, freebsd et Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
appareil | about.labels.key/value (obsolète) additional.fields |
partition | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.file.full_path |
filename | target.file.names |
nœud d'index | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
gid | target.group.product_object_id |
Standard | about.labels.key/value (obsolète) additional.fields |
taille | target.file.size |
block_size | about.labels.key/value (obsolète) additional.fields |
atime | about.labels.key/value (obsolète) additional.fields |
mtime | target.file.last_modification_time |
ctime | about.labels.key/value (obsolète) additional.fields |
hard_links | about.labels.key/value (obsolète) additional.fields |
type | about.labels.key/value (obsolète) additional.fields |
device_hash
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma device_hash et les OS Linux, macOS, freebsd et Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
appareil | target.file.full_path |
partition | about.labels.key/value (obsolète) additional.fields |
nœud d'index | about.labels.key/value (obsolète) additional.fields |
md5 | target.file.md5 |
sha1 | target.file.sha1 |
sha256 | target.file.sha56 |
disk_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma disk_info et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
partitions | principal.asset.attribute.labels.key/value |
disk_index | principal.asset.attribute.labels.key/value |
type | principal.asset.attribute.labels.key/value |
id | principal.asset.product_object_id |
pnp_device_id | about.labels.key/value (obsolète) additional.fields |
disk_size | principal.asset.attribute.labels.key/value |
fabricant | principal.asset.hardware.manufacturer |
hardware_model | principal.asset.hardware.model |
nom | principal.asset.attribute.labels.key/value |
serial | principal.asset.hardware.serial_number |
description | principal.asset.attribute.labels.key/value |
dns_cache
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma dns_cache et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | network.dns.additional.name |
type | about.labels.key/value (obsolète) additional.fields |
flags | about.labels.key/value (obsolète) additional.fields |
dns_resolvers
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma dns_resolvers et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | about.labels.key/value (obsolète) additional.fields |
type | about.labels.key/value (obsolète) additional.fields |
address | principal.ip |
netmask | about.labels.key/value (obsolète) additional.fields |
options | about.labels.key/value (obsolète) additional.fields |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
docker_container_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_networks et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.asset.product_object_id |
nom | network.carrier_name |
network_id | about.labels.key/value (obsolète) additional.fields |
ID du point de terminaison | about.labels.key/value (obsolète) additional.fields |
passerelle | about.labels.key/value (obsolète) additional.fields |
ip_address | target.ip |
ip_prefix_len | about.labels.key/value (obsolète) additional.fields |
ipv6_gateway | about.labels.key/value (obsolète) additional.fields |
ipv6_address | target.ip |
ipv6_prefix_len | about.labels.key/value (obsolète) additional.fields |
mac_address | target.mac |
docker_container_ports
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_ports et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.asset.product_object_id |
type | network.ip_protocol |
port | target.port |
host_ip | principal.ip |
host_port | principal.port |
docker_container_processes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_processes et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.asset.product_object_id |
pid | target.process.pid |
nom | target.process.file.full_path |
cmdline | target.process.command_line |
state | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
gid | target.group.product_object_id |
euid | target.user.attribute.labels.key/value |
egid | target.group.attribute.labels.key/value |
suid | target.user.attribute.labels.key/value |
sgid | target.group.attribute.labels.key/value |
wired_size | about.labels.key/value (obsolète) additional.fields |
resident_size | about.labels.key/value (obsolète) additional.fields |
total_size | about.labels.key/value (obsolète) additional.fields |
start_time | about.labels.key/value (obsolète) additional.fields |
parent | target.process.parent_process.pid |
pgroup | about.labels.key/value (obsolète) additional.fields |
threads | about.labels.key/value (obsolète) additional.fields |
nice | about.labels.key/value (obsolète) additional.fields |
utilisateur | target.user.user_display_name |
temps | about.labels.key/value (obsolète) additional.fields |
processeur | about.labels.key/value (obsolète) additional.fields |
Mém. | about.labels.key/value (obsolète) additional.fields |
docker_container_stats
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma docker_container_stats et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.resource.product_object_id |
nom | target.resource.name |
pids | about.labels.key/value (obsolète) additional.fields |
read | about.labels.key/value (obsolète) additional.fields |
prélecture | about.labels.key/value (obsolète) additional.fields |
intervalle | about.labels.key/value (obsolète) additional.fields |
disk_read | about.labels.key/value (obsolète) additional.fields |
disk_write | about.labels.key/value (obsolète) additional.fields |
num_procs | about.labels.key/value (obsolète) additional.fields |
cpu_total_usage | about.labels.key/value (obsolète) additional.fields |
cpu_kernelmode_usage | about.labels.key/value (obsolète) additional.fields |
cpu_usermode_usage | about.labels.key/value (obsolète) additional.fields |
system_cpu_usage | about.labels.key/value (obsolète) additional.fields |
online_cpus | about.labels.key/value (obsolète) additional.fields |
pre_cpu_total_usage | about.labels.key/value (obsolète) additional.fields |
pre_cpu_kernelmode_usage | about.labels.key/value (obsolète) additional.fields |
pre_cpu_usermode_usage | about.labels.key/value (obsolète) additional.fields |
pre_system_cpu_usage | about.labels.key/value (obsolète) additional.fields |
pre_online_cpus | about.labels.key/value (obsolète) additional.fields |
memory_usage | about.labels.key/value (obsolète) additional.fields |
memory_max_usage | about.labels.key/value (obsolète) additional.fields |
memory_limit | about.labels.key/value (obsolète) additional.fields |
network_rx_bytes | about.labels.key/value (obsolète) additional.fields |
network_tx_bytes | about.labels.key/value (obsolète) additional.fields |
docker_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_info et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.resource.product_object_id |
Conteneurs | about.labels.key/value (obsolète) additional.fields |
containers_running | about.labels.key/value (obsolète) additional.fields |
containers_paused | about.labels.key/value (obsolète) additional.fields |
containers_stopped | about.labels.key/value (obsolète) additional.fields |
images | about.labels.key/value (obsolète) additional.fields |
storage_driver | about.labels.key/value (obsolète) additional.fields |
memory_limit | about.labels.key/value (obsolète) additional.fields |
swap_limit | about.labels.key/value (obsolète) additional.fields |
kernel_memory | about.labels.key/value (obsolète) additional.fields |
cpu_cfs_period | about.labels.key/value (obsolète) additional.fields |
cpu_cfs_quota | about.labels.key/value (obsolète) additional.fields |
cpu_shares | about.labels.key/value (obsolète) additional.fields |
cpu_set | about.labels.key/value (obsolète) additional.fields |
ipv4_forwarding | about.labels.key/value (obsolète) additional.fields |
bridge_nf_iptables | about.labels.key/value (obsolète) additional.fields |
bridge_nf_ip6tables | about.labels.key/value (obsolète) additional.fields |
oom_kill_disable | about.labels.key/value (obsolète) additional.fields |
logging_driver | about.labels.key/value (obsolète) additional.fields |
cgroup_driver | about.labels.key/value (obsolète) additional.fields |
kernel_version | about.labels.key/value (obsolète) additional.fields |
os | about.labels.key/value (obsolète) additional.fields |
os_type | target.platform(enum) |
architecture | about.labels.key/value (obsolète) additional.fields |
cpus | about.labels.key/value (obsolète) additional.fields |
mémoire | about.labels.key/value (obsolète) additional.fields |
http_proxy | about.labels.key/value (obsolète) additional.fields |
https_proxy | about.labels.key/value (obsolète) additional.fields |
no_proxy | about.labels.key/value (obsolète) additional.fields |
nom | target.hostname |
server_version | target.platform_version |
root_dir | target.file.full_path |
docker_network_labels
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_network_labels et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.resource.product_object_id |
clé | target.resource.attribute.labels.key/value |
valeur | about.labels.key/value (obsolète) additional.fields |
docker_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_networks et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
id | target.resource.product_object_id |
nom | about.labels.key/value (obsolète) additional.fields |
pilote | about.labels.key/value (obsolète) additional.fields |
créé | target.resource.attribute.creation_time |
enable_ipv6 | about.labels.key/value (obsolète) additional.fields |
sous-réseau | about.labels.key/value (obsolète) additional.fields |
passerelle | about.labels.key/value (obsolète) additional.fields |
ec2_instance_metadata
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ec2_instance_metadata et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
instance_id | target.resource.product_object_id |
instance_type | about.labels.key/value (obsolète) additional.fields |
architecture | about.labels.key/value (obsolète) additional.fields |
région | target.location.country_or_region |
availability_zone | about.labels.key/value (obsolète) additional.fields |
local_hostname | target.hostname |
local_ipv4 | target.ip |
mac | target.mac |
security_groups | about.labels.key/value (obsolète) additional.fields |
iam_arn | about.labels.key/value (obsolète) additional.fields |
ami_id | about.labels.key/value (obsolète) additional.fields |
reservation_id | about.labels.key/value (obsolète) additional.fields |
Identifiant du compte | target.user.userid |
ssh_public_key | about.labels.key/value (obsolète) additional.fields |
es_process_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma es_process_events et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
version | target.platform_version |
seq_num | about.labels.key/value (obsolète) additional.fields |
global_seq_num | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
chemin d'accès | target.process.file.full_path |
parent | target.process.parent_process.pid |
original_parent | about.labels.key/value (obsolète) additional.fields |
cmdline | target.process.command_line |
cmdline_count | about.labels.key/value (obsolète) additional.fields |
env | about.labels.key/value (obsolète) additional.fields |
env_count | about.labels.key/value (obsolète) additional.fields |
cwd | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
euid | about.labels.key/value (obsolète) additional.fields |
gid | target.group.product_object_id |
egid | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | target.user.user_display_name |
signing_id | about.labels.key/value (obsolète) additional.fields |
team_id | about.labels.key/value (obsolète) additional.fields |
cdhash | about.labels.key/value (obsolète) additional.fields |
platform_binary | about.labels.key/value (obsolète) additional.fields |
exit_code | about.labels.key/value (obsolète) additional.fields |
child_pid | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
event_type | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
etc_hosts
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_hosts et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
address | target.ip |
noms d'hôte | about.hostname |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
etc_protocols
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_protocols et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | network.ip_protocol |
Nombre | about.labels.key/value (obsolète) additional.fields |
Alias | about.labels.key/value (obsolète) additional.fields |
commentaire | about.labels.key/value (obsolète) additional.fields |
etc_services
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_services et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | target.resource.name |
port | target.port |
protocol | network.ip_protocol |
aliases | about.labels.key/value (obsolète) additional.fields |
commentaire | about.labels.key/value (obsolète) additional.fields |
fichier
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le fichier de schéma et les OS macOS, Linux, Windows et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
répertoire | about.labels.key/value (obsolète) additional.fields |
filename | target.file.names |
nœud d'index | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
gid | target.group.product_object_id |
Standard | about.labels.key/value (obsolète) additional.fields |
appareil | target.asset.asset_id |
taille | target.file.size |
block_size | about.labels.key/value (obsolète) additional.fields |
atime | target.file.last_seen_time |
mtime | target.file.last_modification_time |
ctime | about.labels.key/value (obsolète) additional.fields |
btime | about.labels.key/value (obsolète) additional.fields |
hard_links | about.labels.key/value (obsolète) additional.fields |
symlink | about.labels.key/value (obsolète) additional.fields |
type | about.labels.key/value (obsolète) additional.fields |
attributes | about.labels.key/value (obsolète) additional.fields |
volume_serial | about.labels.key/value (obsolète) additional.fields |
file_id | about.labels.key/value (obsolète) additional.fields |
file_version | about.labels.key/value (obsolète) additional.fields |
product_version | about.labels.key/value (obsolète) additional.fields |
bsd_flags | about.labels.key/value (obsolète) additional.fields |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
mount_namespace_id | about.labels.key/value (obsolète) additional.fields |
file_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma file_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
opération | about.labels.key/value (obsolète) additional.fields |
pid | principal.process.pid |
ppid | principal.process.parent_process.pid |
temps | about.labels.key/value (obsolète) additional.fields |
exécutable | about.labels.key/value (obsolète) additional.fields |
partiel | about.labels.key/value (obsolète) additional.fields |
cwd | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | src.file.full_path |
dest_path | target.file.full_path |
uid | principal.user.userid |
gid | principal.group.product_object_id |
auid | about.labels.key/value (obsolète) additional.fields |
euid | about.labels.key/value (obsolète) additional.fields |
egid | about.labels.key/value (obsolète) additional.fields |
fsuid | about.labels.key/value (obsolète) additional.fields |
fsgid | about.labels.key/value (obsolète) additional.fields |
suid | about.labels.key/value (obsolète) additional.fields |
sgid | about.labels.key/value (obsolète) additional.fields |
uptime | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
contrôleur d'accès
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le gatekeeper de schéma et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
assessments_enabled | about.labels.key/value (obsolète) additional.fields |
dev_id_enabled | about.labels.key/value (obsolète) additional.fields |
version | target.asset.software.version |
opaque_version | about.labels.key/value (obsolète) additional.fields |
gatekeeper_approved_apps
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma gatekeeper_approved_apps et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
exigence | about.labels.key/value (obsolète) additional.fields |
ctime | about.labels.key/value (obsolète) additional.fields |
mtime | target.resource.attribute.last_update_time |
groupes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les groupes de schémas et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
gid | target.group.attribute.labels.key/value |
gid_signed | target.group.attribute.labels.key/value |
groupname | target.group.group_display_name |
group_sid | target.group.product_object_id |
commentaire | target.group.attribute.labels.key/value |
is_hidden | target.group.attribute.labels.key/value |
pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma hardware_events et les OS Linux, macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
action | security_result.action_details |
chemin d'accès | target.asset.attribute.labels.key/value |
type | target.asset.attribute.labels.key/value |
pilote | target.asset.attribute.labels.key/value |
vendor | target.asset.attribute.labels.key/value |
vendor_id | target.asset.attribute.labels.key/value |
modèle | target.asset.hardware.model |
model_id | target.asset.attribute.labels.key/value |
serial | target.asset.attribute.labels.key/value |
Révision | target.asset.attribute.labels.key/value |
temps | metadata.event_timestamp |
eid | metadata.product_log_id |
hash
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le hachage de schéma et les OS macOS, Linux, Windows et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
répertoire | about.labels.key/value (obsolète) additional.fields |
md5 | target.file.md5 |
sha1 | target.file.sha1 |
sha256 | target.file.sha256 |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
mount_namespace_id | about.labels.key/value (obsolète) additional.fields |
interface_addresses
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma interface_addresses et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
interface | about.labels.key/value (obsolète) additional.fields |
address | target.ip |
mask | about.labels.key/value (obsolète) additional.fields |
diffuser | about.labels.key/value (obsolète) additional.fields |
point_to_point | about.labels.key/value (obsolète) additional.fields |
type | about.labels.key/value (obsolète) additional.fields |
friendly_name | about.labels.key/value (obsolète) additional.fields |
interface_details
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma interface_details et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
interface | about.labels.key/value (obsolète) additional.fields |
mac | target.mac |
type | about.labels.key/value (obsolète) additional.fields |
mtu | about.labels.key/value (obsolète) additional.fields |
métrique | about.labels.key/value (obsolète) additional.fields |
flags | about.labels.key/value (obsolète) additional.fields |
ipackets | about.labels.key/value (obsolète) additional.fields |
opackets | about.labels.key/value (obsolète) additional.fields |
ioctets | network.sent_bytes |
ooctets | network.received_bytes |
ierrors | about.labels.key/value (obsolète) additional.fields |
oerrors | about.labels.key/value (obsolète) additional.fields |
idrops | about.labels.key/value (obsolète) additional.fields |
odrops | about.labels.key/value (obsolète) additional.fields |
collisions | about.labels.key/value (obsolète) additional.fields |
last_change | about.labels.key/value (obsolète) additional.fields |
link_speed | about.labels.key/value (obsolète) additional.fields |
pci_slot | about.labels.key/value (obsolète) additional.fields |
friendly_name | about.labels.key/value (obsolète) additional.fields |
description | about.labels.key/value (obsolète) additional.fields |
fabricant | target.asset.hardware.manufacturer |
connection_id | about.labels.key/value (obsolète) additional.fields |
connection_status | about.labels.key/value (obsolète) additional.fields |
activé | about.labels.key/value (obsolète) additional.fields |
physical_adapter | about.labels.key/value (obsolète) additional.fields |
speed | about.labels.key/value (obsolète) additional.fields |
service | target.application |
dhcp_enabled | about.labels.key/value (obsolète) additional.fields |
dhcp_lease_expires | network.dhcp.lease_time_seconds |
dhcp_lease_obtained | about.labels.key/value (obsolète) additional.fields |
dhcp_server | network.dhcp.yiaddr |
dns_domain | network.dns.questions.name |
dns_domain_suffix_search_order | about.labels.key/value (obsolète) additional.fields |
dns_host_name | about.labels.key/value (obsolète) additional.fields |
dns_server_search_order | about.labels.key/value (obsolète) additional.fields |
interface_ipv6
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma interface_ipv6 et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
interface | about.labels.key/value (obsolète) additional.fields |
hop_limit | about.labels.key/value (obsolète) additional.fields |
forwarding_enabled | about.labels.key/value (obsolète) additional.fields |
redirect_accept | about.labels.key/value (obsolète) additional.fields |
rtadv_accept | about.labels.key/value (obsolète) additional.fields |
iptables
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma iptables et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
filter_name | about.labels.key/value (obsolète) additional.fields |
chaîne | about.labels.key/value (obsolète) additional.fields |
stratégie | about.labels.key/value (obsolète) additional.fields |
cible | about.labels.key/value (obsolète) additional.fields |
protocol | about.labels.key/value (obsolète) additional.fields |
src_port | src.port |
dst_port | target.port |
src_ip | src.ip |
src_mask | about.labels.key/value (obsolète) additional.fields |
iniface | about.labels.key/value (obsolète) additional.fields |
iniface_mask | about.labels.key/value (obsolète) additional.fields |
dst_ip | target.ip |
dst_mask | about.labels.key/value (obsolète) additional.fields |
outiface | about.labels.key/value (obsolète) additional.fields |
outiface_mask | about.labels.key/value (obsolète) additional.fields |
correspondance | about.labels.key/value (obsolète) additional.fields |
paquets | about.labels.key/value (obsolète) additional.fields |
bytes | network.received_bytes |
kernel_panics
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma kernel_panics et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
temps | about.labels.key/value (obsolète) additional.fields |
registres | about.labels.key/value (obsolète) additional.fields |
frame_backtrace | about.labels.key/value (obsolète) additional.fields |
module_backtrace | about.labels.key/value (obsolète) additional.fields |
les dépendances | about.labels.key/value (obsolète) additional.fields |
nom | target.process.command_line |
os_version | target.platform_version |
kernel_version | about.labels.key/value (obsolète) additional.fields |
system_model | target.asset.hardware.model |
uptime | about.labels.key/value (obsolète) additional.fields |
last_loaded | about.labels.key/value (obsolète) additional.fields |
last_unloaded | about.labels.key/value (obsolète) additional.fields |
keychain_acls
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour le schéma keychain_acls et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
keychain_path | about.labels.key/value (obsolète) additional.fields |
autorisations | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.file.full_path |
description | metadata.description |
étiquette | about.labels.key/value (obsolète) additional.fields |
known_hosts
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma known_hosts et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
uid | target.user.userid |
clé | about.labels.key/value (obsolète) additional.fields |
key_file | target.file.full_path |
dernière
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma "last" et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom d'utilisateur | target.user.user_display_name |
tty | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
type | about.labels.key/value (obsolète) additional.fields |
type_name | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
hôte | target.hostname |
listening_ports
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma listening_ports et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pid | target.process.pid |
port | target.port |
protocol | network.ip_protocol |
famille | about.labels.key/value (obsolète) additional.fields |
address | target.ip |
fd | about.labels.key/value (obsolète) additional.fields |
socket | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.process.file.full_path |
net_namespace | about.labels.key/value (obsolète) additional.fields |
logged_in_users
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma "logged_in_users" et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
type | about.labels.key/value (obsolète) additional.fields |
utilisateur | target.user.userid |
tty | about.labels.key/value (obsolète) additional.fields |
hôte | target.hostname |
temps | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
sid | about.labels.key/value (obsolète) additional.fields |
registry_hive | about.labels.key/value (obsolète) additional.fields |
logon_sessions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma logon_sessions et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
logon_id | about.labels.key/value (obsolète) additional.fields |
utilisateur | target.user.user_display_name |
logon_domain | about.labels.key/value (obsolète) additional.fields |
authentication_package | about.labels.key/value (obsolète) additional.fields |
logon_type | about.labels.key/value (obsolète) additional.fields |
session_id | network.session_id |
logon_sid | about.labels.key/value (obsolète) additional.fields |
logon_time | about.labels.key/value (obsolète) additional.fields |
logon_server | about.labels.key/value (obsolète) additional.fields |
dns_domain_name | network.dns_domain |
upn | about.labels.key/value (obsolète) additional.fields |
logon_script | about.labels.key/value (obsolète) additional.fields |
profile_path | target.file.full_path |
home_directory | about.labels.key/value (obsolète) additional.fields |
home_directory_drive | about.labels.key/value (obsolète) additional.fields |
lxd_certificates
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma lxd_certificates et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | security_result.detection_fields.key/value |
type | security_result.detection_fields.key/value |
fingerprint | security_result.detection_fields.key/value |
certificat | security_result.detection_fields.key/value |
lxd_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma lxd_networks et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | about.labels.key/value (obsolète) additional.fields |
type | about.labels.key/value (obsolète) additional.fields |
géré | about.labels.key/value (obsolète) additional.fields |
ipv4_address | about.labels.key/value (obsolète) additional.fields |
ipv6_address | about.labels.key/value (obsolète) additional.fields |
used_by | about.labels.key/value (obsolète) additional.fields |
bytes_received | network.received_bytes |
bytes_sent | network.sent_bytes |
packets_received | about.labels.key/value (obsolète) additional.fields |
packets_sent | about.labels.key/value (obsolète) additional.fields |
hwaddr | about.labels.key/value (obsolète) additional.fields |
state | about.labels.key/value (obsolète) additional.fields |
mtu | about.labels.key/value (obsolète) additional.fields |
managed_policies
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma managed_policies et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
domaine | target.administrative_domain |
uuid | about.labels.key/value (obsolète) additional.fields |
nom | about.labels.key/value (obsolète) additional.fields |
valeur | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | target.user.user_display_name |
manuel | about.labels.key/value (obsolète) additional.fields |
memory_devices
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma memory_devices et les OS Linux, macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
handle | about.labels.key/value (obsolète) additional.fields |
array_handle | about.labels.key/value (obsolète) additional.fields |
form_factor | about.labels.key/value (obsolète) additional.fields |
total_width | about.labels.key/value (obsolète) additional.fields |
data_width | about.labels.key/value (obsolète) additional.fields |
taille | about.labels.key/value (obsolète) additional.fields |
set | about.labels.key/value (obsolète) additional.fields |
device_locator | about.labels.key/value (obsolète) additional.fields |
bank_locator | about.labels.key/value (obsolète) additional.fields |
memory_type | about.labels.key/value (obsolète) additional.fields |
memory_type_details | about.labels.key/value (obsolète) additional.fields |
max_speed | about.labels.key/value (obsolète) additional.fields |
configured_clock_speed | about.labels.key/value (obsolète) additional.fields |
fabricant | target.asset.hardware.manufacturer |
serial_number | target.asset.hardware.serial_number |
asset_tag | target.asset.asset_id |
part_number | about.labels.key/value (obsolète) additional.fields |
min_voltage | about.labels.key/value (obsolète) additional.fields |
max_voltage | about.labels.key/value (obsolète) additional.fields |
configured_voltage | about.labels.key/value (obsolète) additional.fields |
ntdomains
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ntdomains et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | about.labels.key/value (obsolète) additional.fields |
client_site_name | about.labels.key/value (obsolète) additional.fields |
dc_site_name | about.labels.key/value (obsolète) additional.fields |
dns_forest_name | network.dns.questions.name |
domain_controller_address | target.ip |
domain_controller_name | about.labels.key/value (obsolète) additional.fields |
domain_name | target.administrative_domain |
état | about.labels.key/value (obsolète) additional.fields |
ntfs_acl_permissions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ntfs_acl_permissions et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
type | about.labels.key/value (obsolète) additional.fields |
compte principal | about.labels.key/value (obsolète) additional.fields |
accès | about.labels.key/value (obsolète) additional.fields |
inherited_from | about.labels.key/value (obsolète) additional.fields |
os_version
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma os_version et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | about.labels.key/value (obsolète) additional.fields |
version | principal.platform_version |
majeur | about.labels.key/value (obsolète) additional.fields |
mineur | about.labels.key/value (obsolète) additional.fields |
patch | principal.platform_patch_level |
build | about.labels.key/value (obsolète) additional.fields |
platform (plate-forme) | principal.platform |
platform_like | about.labels.key/value (obsolète) additional.fields |
codename | about.labels.key/value (obsolète) additional.fields |
arch | about.labels.key/value (obsolète) additional.fields |
install_date | about.labels.key/value (obsolète) additional.fields |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
mount_namespace_id | about.labels.key/value (obsolète) additional.fields |
osquery_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma osquery_events et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | target.resource.name |
diffuseur | about.label.key/value |
type | about.label.key/value |
abonnements | about.label.key/value |
en direct | about.label.key/value |
actualise | about.label.key/value |
actif | about.label.key/value |
sécurité
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les correctifs de schéma et le système d'exploitation Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
csname | target.hostname |
hotfix_id | about.labels.key/value (obsolète) additional.fields |
sous-titres | about.labels.key/value (obsolète) additional.fields |
description | metadata.description |
fix_comments | about.labels.key/value (obsolète) additional.fields |
installed_by | about.labels.key/value (obsolète) additional.fields |
install_date | about.labels.key/value (obsolète) additional.fields |
installed_on | about.labels.key/value (obsolète) additional.fields |
pci_devices
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma pci_devices et les OS Linux, macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pci_slot | principal.labels.key/value (obsolète) additional.fields |
pci_class | principal.labels.key/value (obsolète) additional.fields |
pilote | principal.labels.key/value (obsolète) additional.fields |
vendor | principal.labels.key/value (obsolète) additional.fields |
vendor_id | principal.labels.key/value (obsolète) additional.fields |
modèle | principal.asset.hardware.model |
model_id | principal.labels.key/value (obsolète) additional.fields |
sous-système | principal.labels.key/value (obsolète) additional.fields |
express | principal.labels.key/value (obsolète) additional.fields |
Thunderbolt | principal.labels.key/value (obsolète) additional.fields |
amovible | principal.labels.key/value (obsolète) additional.fields |
pci_class_id | principal.labels.key/value (obsolète) additional.fields |
pci_subclass_id | principal.labels.key/value (obsolète) additional.fields |
pci_subclass | principal.labels.key/value (obsolète) additional.fields |
subsystem_vendor_id | principal.labels.key/value (obsolète) additional.fields |
subsystem_vendor | principal.labels.key/value (obsolète) additional.fields |
subsystem_model_id | principal.labels.key/value (obsolète) additional.fields |
subsystem_model | principal.labels.key/value (obsolète) additional.fields |
tuyaux
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les canaux de schéma et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pid | target.process.pid |
nom | target.resource.name |
instances | about.labels.key/value (obsolète) additional.fields |
max_instances | about.labels.key/value (obsolète) additional.fields |
flags | about.labels.key/value (obsolète) additional.fields |
powershell_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma powershell_events et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
temps | metadata.collected_timestamp |
Date/Heure | about.labels.key/value (obsolète) additional.fields |
script_block_id | about.labels.key/value (obsolète) additional.fields |
script_block_count | about.labels.key/value (obsolète) additional.fields |
script_text | about.labels.key/value (obsolète) additional.fields |
script_name | about.labels.key/value (obsolète) additional.fields |
script_path | target.file.full_path |
cosine_similarity | about.labels.key/value (obsolète) additional.fields |
process_envs
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_envs et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pid | target.process.pid |
clé | about.labels.key |
valeur | about.labels.value |
process_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_events et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
version | target.platform_version |
seq_num | about.labels.key/value (obsolète) additional.fields |
global_seq_num | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
chemin d'accès | target.file.full_path |
parent | target.process.parent_process.pid |
original_parent | about.labels.key/value (obsolète) additional.fields |
cmdline | target.process.command_line |
cmdline_count | about.labels.key/value (obsolète) additional.fields |
env | about.labels.key/value (obsolète) additional.fields |
env_count | about.labels.key/value (obsolète) additional.fields |
cwd | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
euid | about.labels.key/value (obsolète) additional.fields |
gid | target.group.product_object_id |
egid | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | target.user.user_display_name |
signing_id | about.labels.key/value (obsolète) additional.fields |
team_id | about.labels.key/value (obsolète) additional.fields |
cdhash | about.labels.key/value (obsolète) additional.fields |
platform_binary | about.labels.key/value (obsolète) additional.fields |
exit_code | about.labels.key/value (obsolète) additional.fields |
child_pid | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
event_type | about.labels.key/value (obsolète) additional.fields |
eid | about.labels.key/value (obsolète) additional.fields |
process_file_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_file_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
opération | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
ppid | target.process.parent_process.pid |
temps | about.labels.key/value (obsolète) additional.fields |
exécutable | about.labels.key/value (obsolète) additional.fields |
partiel | about.labels.key/value (obsolète) additional.fields |
cwd | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.file.full_path |
dest_path | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
gid | target.group.product_object_id |
auid | about.labels.key/value (obsolète) additional.fields |
euid | about.labels.key/value (obsolète) additional.fields |
egid | about.labels.key/value (obsolète) additional.fields |
fsuid | about.labels.key/value (obsolète) additional.fields |
fsgid | about.labels.key/value (obsolète) additional.fields |
suid | about.labels.key/value (obsolète) additional.fields |
sgid | about.labels.key/value (obsolète) additional.fields |
uptime | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
process_open_sockets
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_open_sockets et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pid | principal.process.pid |
fd | about.labels.key/value (obsolète) additional.fields |
socket | about.labels.key/value (obsolète) additional.fields |
famille | about.labels.key/value (obsolète) additional.fields |
protocol | about.labels.key/value (obsolète) additional.fields |
local_address | principal.ip |
remote_address | target.ip |
local_port | principal.port |
remote_port | target.port |
chemin d'accès | target.file.full_path |
state | about.labels.key/value (obsolète) additional.fields |
net_namespace | about.labels.key/value (obsolète) additional.fields |
processes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les processus de schéma et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pid | target.process.pid |
nom | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.process.file.full_path |
cmdline | target.process.command_line |
state | target.process.attribute.labels.key/value |
cwd | about.labels.key/value (obsolète) additional.fields |
racine | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
gid | target.group.product_object_id |
euid | about.labels.key/value (obsolète) additional.fields |
egid | about.labels.key/value (obsolète) additional.fields |
suid | about.labels.key/value (obsolète) additional.fields |
sgid | about.labels.key/value (obsolète) additional.fields |
on_disk | about.labels.key/value (obsolète) additional.fields |
wired_size | about.labels.key/value (obsolète) additional.fields |
resident_size | about.labels.key/value (obsolète) additional.fields |
total_size | about.labels.key/value (obsolète) additional.fields |
user_time | about.labels.key/value (obsolète) additional.fields |
system_time | about.labels.key/value (obsolète) additional.fields |
disk_bytes_read | about.labels.key/value (obsolète) additional.fields |
disk_bytes_written | about.labels.key/value (obsolète) additional.fields |
start_time | about.labels.key/value (obsolète) additional.fields |
parent | target.process.parent_process.pid |
pgroup | about.labels.key/value (obsolète) additional.fields |
threads | about.labels.key/value (obsolète) additional.fields |
nice | about.labels.key/value (obsolète) additional.fields |
elevated_token | about.labels.key/value (obsolète) additional.fields |
secure_process | about.labels.key/value (obsolète) additional.fields |
protection_type | about.labels.key/value (obsolète) additional.fields |
virtual_process | about.labels.key/value (obsolète) additional.fields |
elapsed_time | about.labels.key/value (obsolète) additional.fields |
handle_count | about.labels.key/value (obsolète) additional.fields |
percent_processor_time | about.labels.key/value (obsolète) additional.fields |
upid | about.labels.key/value (obsolète) additional.fields |
uppid | about.labels.key/value (obsolète) additional.fields |
cpu_type | about.labels.key/value (obsolète) additional.fields |
cpu_subtype | about.labels.key/value (obsolète) additional.fields |
programmes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les programmes de schéma et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | target.resource.name |
version | target.platform_version |
install_location | about.labels.key/value (obsolète) additional.fields |
install_source | about.labels.key/value (obsolète) additional.fields |
langue | about.labels.key/value (obsolète) additional.fields |
diffuseur | about.labels.key/value (obsolète) additional.fields |
uninstall_string | target.file.full_path |
install_date | about.labels.key/value (obsolète) additional.fields |
identifying_number | about.labels.key/value (obsolète) additional.fields |
scheduled_tasks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma scheduled_tasks et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | target.resource.name |
action | security_result.action_details |
chemin d'accès | target.file.full_path |
activé | about.labels.key/value (obsolète) additional.fields |
state | about.labels.key/value (obsolète) additional.fields |
(couche | about.labels.key/value (obsolète) additional.fields |
last_run_time | about.labels.key/value (obsolète) additional.fields |
next_run_time | about.labels.key/value (obsolète) additional.fields |
last_run_message | about.labels.key/value (obsolète) additional.fields |
last_run_code | about.labels.key/value (obsolète) additional.fields |
seccomp_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma seccomp_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
temps | about.labels.key/value (obsolète) additional.fields |
uptime | about.labels.key/value (obsolète) additional.fields |
auid | about.labels.key/value (obsolète) additional.fields |
uid | target.user.userid |
gid | target.group.product_object_id |
ses | about.labels.key/value (obsolète) additional.fields |
pid | target.process.pid |
comm | about.labels.key/value (obsolète) additional.fields |
exe | target.file.full_path |
sig | about.labels.key/value (obsolète) additional.fields |
arch | about.labels.key/value (obsolète) additional.fields |
appel système | about.labels.key/value (obsolète) additional.fields |
compat | about.labels.key/value (obsolète) additional.fields |
ip | about.labels.key/value (obsolète) additional.fields |
code | about.labels.key/value (obsolète) additional.fields |
seLinux_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma seLinux_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
type | about.labels.key/value (obsolète) additional.fields |
message | metadata.description |
temps | about.labels.key/value (obsolète) additional.fields |
uptime | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
shadow
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ombre de schéma et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
password_status | about.labels.key/value (obsolète) additional.fields |
hash_alg | about.labels.key/value (obsolète) additional.fields |
last_change | about.labels.key/value (obsolète) additional.fields |
min | about.labels.key/value (obsolète) additional.fields |
max | about.labels.key/value (obsolète) additional.fields |
avertissement | about.labels.key/value (obsolète) additional.fields |
inactif | about.labels.key/value (obsolète) additional.fields |
expire | about.labels.key/value (obsolète) additional.fields |
option | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | principal.user.user_display_name |
shell_history
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma shell_history et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
uid | principal.user.userid |
temps | about.labels.key/value (obsolète) additional.fields |
commande | principal.process.command_line |
history_file | principal.process.file.full_path |
shimcache
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma shimcache et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
entry | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.file.full_path |
modified_time | target.file.last_modification_time |
execution_flag | about.labels.key/value (obsolète) additional.fields |
signature
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la signature de schéma et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
hash_resources | about.labels.key/value (obsolète) additional.fields |
arch | about.labels.key/value (obsolète) additional.fields |
a signé | target.file.pe_file.signature_info.verified |
identifier | target.file.pe_file.signature_info.signer |
cdhash | about.labels.key/value (obsolète) additional.fields |
team_identifier | about.labels.key/value (obsolète) additional.fields |
Autorité | about.labels.key/value (obsolète) additional.fields |
sip_config
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma sip_config et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
config_flag | about.labels.key/value (obsolète) additional.fields |
activé | about.labels.key/value (obsolète) additional.fields |
enabled_nvram | about.labels.key/value (obsolète) additional.fields |
socket_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma socket_events et les OS Linux, macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
action | security_result.action_details |
pid | target.process.pid |
chemin d'accès | target.process.file.full_path |
fd | about.labels.key/value (obsolète) additional.fields |
auid | target.user.userid |
état | about.labels.key/value (obsolète) additional.fields |
famille | about.labels.key/value (obsolète) additional.fields |
protocol | about.labels.key/value (obsolète) additional.fields |
local_address | principal.ip |
remote_address | target.ip |
local_port | principal.port |
remote_port | target.port |
socket | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
uptime | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
success | about.labels.key/value (obsolète) additional.fields |
sudoers
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma sudoers et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
source | about.labels.key/value (obsolète) additional.fields |
en-tête | about.labels.key/value (obsolète) additional.fields |
rule_details | about.labels.key/value (obsolète) additional.fields |
syslog_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma syslog_events et l'OS Linux:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
temps | about.labels.key/value (obsolète) additional.fields |
Date/Heure | about.labels.key/value (obsolète) additional.fields |
hôte | target.hostname |
de gravité, | security_result.severity (enum) |
installation | about.labels.key/value (obsolète) additional.fields |
tag | about.labels.key/value (obsolète) additional.fields |
message | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
system_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma system_info et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom d'hôte | principal.administrative_domain |
uuid | about.labels.key/value (obsolète) additional.fields |
cpu_type | about.labels.key/value (obsolète) additional.fields |
cpu_subtype | about.labels.key/value (obsolète) additional.fields |
cpu_brand | about.labels.key/value (obsolète) additional.fields |
cpu_physical_cores | about.labels.key/value (obsolète) additional.fields |
cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
cpu_microcode | about.labels.key/value (obsolète) additional.fields |
physical_memory | about.labels.key/value (obsolète) additional.fields |
hardware_vendor | about.labels.key/value (obsolète) additional.fields |
hardware_model | principal.asset.hardware.model |
hardware_version | about.labels.key/value (obsolète) additional.fields |
hardware_serial | principal.asset.hardware.serial_number |
board_vendor | about.labels.key/value (obsolète) additional.fields |
board_model | about.labels.key/value (obsolète) additional.fields |
board_version | about.labels.key/value (obsolète) additional.fields |
board_serial | about.labels.key/value (obsolète) additional.fields |
computer_name | about.labels.key/value (obsolète) additional.fields |
local_hostname | about.labels.key/value (obsolète) additional.fields |
tpm_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma tpm_info et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
activé | about.labels.key/value (obsolète) additional.fields |
activé | about.labels.key/value (obsolète) additional.fields |
détenue | about.labels.key/value (obsolète) additional.fields |
manufacturer_version | about.labels.key/value (obsolète) additional.fields |
manufacturer_id | about.labels.key/value (obsolète) additional.fields |
manufacturer_name | principal.aseet.hardware.manufacturer |
product_name | principal.resource.name |
physical_presence_version | about.labels.key/value (obsolète) additional.fields |
spec_version | about.labels.key/value (obsolète) additional.fields |
usb_devices
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma usb_devices et les OS Linux, macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
usb_address | about.labels.key/value (obsolète) additional.fields |
usb_port | about.labels.key/value (obsolète) additional.fields |
vendor | about.labels.key/value (obsolète) additional.fields |
vendor_id | about.labels.key/value (obsolète) additional.fields |
version | about.labels.key/value (obsolète) additional.fields |
modèle | target.asset.hardware.model |
model_id | about.labels.key/value (obsolète) additional.fields |
serial | target.asset.hardware.serial_number |
classe | about.labels.key/value (obsolète) additional.fields |
sous-classe | about.labels.key/value (obsolète) additional.fields |
protocol | about.labels.key/value (obsolète) additional.fields |
amovible | about.labels.key/value (obsolète) additional.fields |
user_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma user_events et les OS Linux, macOS et FreeBSD:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
uid | principal.user.userid |
auid | principal.user.attribute.labels.key/value |
pid | target.process.pid |
message | metadata.description |
type | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.file.full_path |
address | about.labels.key/value (obsolète) additional.fields |
terminal | about.labels.key/value (obsolète) additional.fields |
temps | metadata.collected_timestamp |
uptime | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |
user_groups
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma user_groups et les OS Linux, macOS et Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
uid | principal.user.userid |
gid | principal.group.product_object_id |
users
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour les utilisateurs du schéma et les OS macOS, Linux, Windows et freebsd:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
uid | principal.user.userid |
gid | principal.user.group_identifiers(repeated) |
uid_signed | about.labels.key/value (obsolète) additional.fields |
gid_signed | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | principal.user.user_display_name |
description | about.labels.key/value (obsolète) additional.fields |
répertoire | about.labels.key/value (obsolète) additional.fields |
shell | about.labels.key/value (obsolète) additional.fields |
uuid | principal.user.product_object_id |
type | about.labels.key/value (obsolète) additional.fields |
is_hidden | about.labels.key/value (obsolète) additional.fields |
pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
wifi_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma wifi_networks et l'OS macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
ssid | target.labels.key/value (obsolète) additional.fields |
network_name | target.labels.key/value (obsolète) additional.fields |
security_type | target.labels.key/value (obsolète) additional.fields |
last_connected | about.labels.key/value (obsolète) additional.fields |
point d'accès | about.labels.key/value (obsolète) additional.fields |
possibly_hidden | about.labels.key/value (obsolète) additional.fields |
itinérance | about.labels.key/value (obsolète) additional.fields |
roaming_profile | about.labels.key/value (obsolète) additional.fields |
captive_portal | about.labels.key/value (obsolète) additional.fields |
auto_login | target.labels.key/value (obsolète) additional.fields |
temporarily_disabled | target.labels.key/value (obsolète) additional.fields |
désactivé | target.labels.key/value (obsolète) additional.fields |
windows_crashes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_crashes et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
Date/Heure | about.labels.key/value (obsolète) additional.fields |
module | about.labels.key/value (obsolète) additional.fields |
chemin d'accès | target.process.file.full_path |
pid | target.process.pid |
tid | about.labels.key/value (obsolète) additional.fields |
version | about.labels.key/value (obsolète) additional.fields |
process_uptime | about.labels.key/value (obsolète) additional.fields |
stack_trace | about.labels.key/value (obsolète) additional.fields |
exception_code | about.labels.key/value (obsolète) additional.fields |
exception_message | about.labels.key/value (obsolète) additional.fields |
exception_address | about.labels.key/value (obsolète) additional.fields |
registres | about.labels.key/value (obsolète) additional.fields |
command_line | target.process.command_line |
current_directory | about.labels.key/value (obsolète) additional.fields |
nom d'utilisateur | target.user.user_display_name |
machine_name | about.labels.key/value (obsolète) additional.fields |
major_version | about.labels.key/value (obsolète) additional.fields |
minor_version | about.labels.key/value (obsolète) additional.fields |
build_number | target.platform_version |
type | about.labels.key/value (obsolète) additional.fields |
crash_path | about.labels.key/value (obsolète) additional.fields |
windows_eventlog
L'analyseur d'événements Windows (WINEVTLOG) mappe ces événements. Pour en savoir plus, consultez Collecter des données d'événement Microsoft Windows."
windows_events
L'analyseur d'événements Windows (WINEVTLOG) mappe ces événements. Pour en savoir plus, consultez Collecter des données d'événement Microsoft Windows.
windows_firewall_rules
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_firewall_rules et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | about.labels.key/value (obsolète) additional.fields |
app_name | target.application |
action | security_result.action (énumération) |
activé | about.labels.key/value (obsolète) additional.fields |
regroupement | about.labels.key/value (obsolète) additional.fields |
direction | network.direction |
protocol | network.ip_protocol |
local_addresses | principal.ip |
remote_addresses | target.ip |
local_ports | principal.port |
remote_ports | target.port |
icmp_types_codes | about.labels.key/value (obsolète) additional.fields |
profile_domain | about.labels.key/value (obsolète) additional.fields |
profile_private | about.labels.key/value (obsolète) additional.fields |
profile_public | about.labels.key/value (obsolète) additional.fields |
service_name | about.labels.key/value (obsolète) additional.fields |
windows_security_center
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma Windows_security_center et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
pare-feu | security_result.detection_fields.key/value |
autoupdate | security_result.detection_fields.key/value |
antivirus | security_result.detection_fields.key/value |
logiciel anti-espion | security_result.detection_fields.key/value |
internet_settings | security_result.detection_fields.key/value |
Windows_security_center_service | security_result.detection_fields.key/value |
user_account_control | security_result.detection_fields.key/value |
windows_security_products
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_security_products et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
type | about.labels.key/value (obsolète) additional.fields |
nom | target.resource.name |
state | about.labels.key/value (obsolète) additional.fields |
state_timestamp | about.labels.key/value (obsolète) additional.fields |
remediation_path | about.labels.key/value (obsolète) additional.fields |
signatures_up_to_date | about.labels.key/value (obsolète) additional.fields |
wmi_bios_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma wmi_bios_info et l'OS Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
nom | about.labels.key/value (obsolète) additional.fields |
valeur | about.labels.key/value (obsolète) additional.fields |
yara
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma yara et les OS Linux, macOS, freebsd et Windows:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
chemin d'accès | target.file.full_path |
correspond à | about.labels.key/value (obsolète) additional.fields |
nombre | about.labels.key/value (obsolète) additional.fields |
sig_group | security_result.detection_fields.key/value |
sigfile | security_result.detection_fields.key/value |
sigrule | security_result.detection_fields.key/value |
chaînes | about.labels.key/value (obsolète) additional.fields |
tags | about.labels.key/value (obsolète) additional.fields |
sigurl | security_result.detection_fields.key/value |
yara_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma yara_events et les OS Linux, macOS:
Champ du journal | Mappage UDM |
---|---|
metadata.event_type est mappé sur SETTING_MODIFICATION | |
target_path | target.file.full_path |
category | about.labels.key/value (obsolète) additional.fields |
action | security_result.action_details |
transaction_id | security_result.detection_fields.key/value |
correspond à | about.labels.key/value (obsolète) additional.fields |
nombre | about.labels.key/value (obsolète) additional.fields |
chaînes | about.labels.key/value (obsolète) additional.fields |
tags | about.labels.key/value (obsolète) additional.fields |
temps | about.labels.key/value (obsolète) additional.fields |
eid | metadata.product_log_id |