Diese Seite wurde von der Cloud Translation API übersetzt.

F5 BIG-IP LTM-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie F5 BIG-IP Local Traffic Manager-Logs (LTM) mithilfe eines Google Security Operations-Forwarders erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label F5_BIGIP_LTM.

F5 BIG-IP LTM konfigurieren

Melden Sie sich mit Root-Anmeldedaten bei SSH an.
Melden Sie sich mit dem folgenden Befehl in der Traffic Management Shell (tmsh) an:

tmsh
Senden Sie gefilterte Log-Nachrichten mit dem folgenden Befehl an Remote-Syslog-Server:

modify /sys syslog remote-servers none
Entfernen Sie die Anweisung „remote-servers“ und fügen Sie dann eine „syslog“include-Anweisung hinzu, die eine Filterregel und den Remote-Server definiert.
Verwenden Sie den folgenden Befehl, um den erforderlichen Syslog-Filter zu definieren, der auf den Remote-Server verweist:

edit /sys syslog all-properties

Ersetzen Sie den include none-Befehl durch den folgenden Filter und fügen Sie die IP-Adresse und Portnummer hinzu.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Google Security Operations-Weiterleitungsdienstes und port durch die hohe Portnummer.

Wenn Sie den Texteditor verlassen möchten, drücken Sie die Esc-Taste und geben Sie dann wq! ein.
Speichern Sie die Konfiguration mit dem folgenden Befehl:

save /sys config

Google Security Operations-Forwarder und Syslog konfigurieren, um F5 BIG-IP LTM-Protokolle aufzunehmen

Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
Geben Sie im Feld Name des Collectors einen Namen ein.
Wählen Sie F5 BIGIP LTM als Logtyp aus.
Wählen Sie Syslog als Collector-Typ aus.
Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Protokoll an.
- Adresse: Geben Sie die IP-Adresse des Google Security Operations-Forwarders an.
- Port: Geben Sie den Port an.
Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser normalisiert F5 BIG-IP Local Traffic Manager-Protokolle (LTM) und verarbeitet sowohl Schlüssel/Wert- als auch Syslog-Formate. Felder wie IP-Adressen, Nutzernamen, Aktionen und Beschreibungen werden extrahiert, der UDM zugeordnet und Ereignisse werden anhand von Protokollinhalten und extrahierten Feldern kategorisiert, darunter Netzwerkverbindungen, Nutzeranmeldungen/-abmeldungen und allgemeine Ereignisse.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Schlüssel `Access_Profile` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Direkt aus dem Schlüssel `Client_IP` in den geparsten Schlüssel/Wert-Paaren zugeordnet. Wird auch verwendet, um die IP-Adresse des Haupt-Assets zu ermitteln. Legt `has_principal` auf „true“ fest.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Direkt aus dem Schlüssel `Country` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Schlüssel `Listener` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Schlüssel `Session_ID` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`State`	`event.idm.read_only_udm.principal.location.state`	Direkt aus dem Schlüssel `State` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	Direkt aus dem Schlüssel `Virtual_IP` in den geparsten Schlüssel/Wert-Paaren zugeordnet. Wird auch verwendet, um die IP-Adresse des Ziel-Assets zu ermitteln. Legt `has_target` auf „true“ fest.
`about`	`event.idm.read_only_udm.about`	Wird aus verschiedenen Feldern wie `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade` und `device` abgeleitet, sofern diese im Rohlog vorhanden und erfolgreich geparst wurden.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	Direkt zugeordnet für `scriptd`-Prozesslogs.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	Direkt zugeordnet.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `blade` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	Direkt zugeordnet, in eine vorzeichenlose Ganzzahl konvertiert.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	Direkt zugeordnet, in eine vorzeichenlose Ganzzahl konvertiert.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `client` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Haupt-Assets zu ermitteln. Legt `has_principal` auf „true“ fest.
`client_port`	`event.idm.read_only_udm.principal.port`	Direkt zugeordnet, in eine Ganzzahl konvertiert.
`collection_time`	`event.timestamp`	Der Zeitstempel des Logeintrags wird als Ereigniszeitstempel verwendet.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	Direkt zugeordnet für `CROND`-Prozesslogs und einige `logger`-Logs.
`data`	`message`	Die Roh-Lognachricht. Diese werden geparst und zum Ausfüllen verschiedener UDM-Felder verwendet.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt zugeordnet.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt zugeordnet.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	Direkt für einige Protokolltypen zugeordnet oder als Teil der Beschreibung des Sicherheitsergebnisses verwendet.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt zugeordnet. Wird auch verwendet, um den Hostnamen des Haupt-Assets zu füllen. Legt `has_principal` auf „true“ fest.
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Ziel-Assets zu ermitteln. Legt `has_principal` auf „true“ fest.
`dest_port`	`event.idm.read_only_udm.target.port`	Direkt zugeordnet.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	Geprüft, um Hostname oder IP-Adresse zu extrahieren. Wird verwendet, um den Hostnamen des Hauptkontos oder den Hostnamen des Vermittlers einzufügen.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Schlüssel `errdefs_msgno` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt zugeordnet.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt zugeordnet.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	Im bereitgestellten Beispiel nicht zugeordnet, würde aber bei Verfügbarkeit dem Kontinent zugeordnet werden.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	Direkt zugeordnet.
`geoState`	`event.idm.read_only_udm.principal.location.state`	Direkt zugeordnet.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	Direkt zugeordnet.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	Direkt zugeordnet. Wird auch in den geparsten User-Agent umgewandelt.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Die Daten werden geparst, um IP-Adressen zu extrahieren und in die Haupt-IP-Adresse und die IP-Adresse des Haupt-Assets einzufügen.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Direkt zugeordnet. Wird auch verwendet, um den Hostnamen des Ziel-Assets zu füllen. Legt `has_target` auf „true“ fest.
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Direkt zugeordnet. Wird auch verwendet, um den Hostnamen des Ziel-Assets zu füllen. Legt `has_target` auf „true“ fest.
`http_method`	`event.idm.read_only_udm.network.http.method`	Direkt zugeordnet. Legt `event_type` auf `NETWORK_HTTP` fest, falls vorhanden.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Haupt-Assets zu ermitteln. Legt `has_principal` auf „true“ fest.
`kv_msg`	Verschiedene Felder	Sie werden als Schlüssel/Wert-Paare geparst und zum Füllen verschiedener UDM-Felder verwendet.
`Level`	`event.idm.read_only_udm.security_result.severity`	Wird der Schweregrad zugeordnet, wenn das Feld `severity` nicht vorhanden ist. In UDM-Schweregradwerte umgewandelt (z.B. „Info“ –> „INFORMATIONAL“).
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	Die Daten werden weiter analysiert, um `request_uri` oder `description` zu extrahieren.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Direkt aus dem Feld `log_type` des Rohlogs zugeordnet.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	Schweregrad zugeordnet. In UDM-Schweregradwerte umgewandelt (z.B. „warning“ –> „MEDIUM“, „err“ –> „HIGH“). Wird auch für die Logik für Benachrichtigungen/wichtige Ereignisse verwendet.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Haupt-Assets zu ermitteln. Legt `has_principal` auf „true“ fest.
`method`	`event.idm.read_only_udm.network.http.method`	Direkt zugeordnet. Legt `event_type` auf `NETWORK_HTTP` fest.
`method_req`	`event.idm.read_only_udm.network.http.method`	Direkt zugeordnet.
`msg1`	`event.idm.read_only_udm.security_result.description`	Wird als Beschreibung des Sicherheitsergebnisses verwendet, wenn es nicht weiter analysiert wird.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `node` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt zugeordnet.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt zugeordnet.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `pool_member` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Direkt zugeordnet. Wird auch verwendet, um den Hostnamen des Haupt-Assets zu füllen. Legt `has_principal` auf „true“ fest.
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Haupt-Assets und die IP-Adresse des Beobachters zu erfassen. Legt `has_principal` auf „true“ fest.
`principalPort`	`event.idm.read_only_udm.principal.port`	Direkt zugeordnet, in eine Ganzzahl konvertiert.
`process`	`event.idm.read_only_udm.target.application`	Direkt zugeordnet.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Direkt zugeordnet.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Wird dem IP-Protokoll zugeordnet, nachdem die Protokollnummer mithilfe einer Suche in den Protokollnamen konvertiert wurde.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `query` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`reason`	`event.idm.read_only_udm.security_result.description`	Direkt zugeordnete Prozesslogs für `apmd` mit Warnungs- oder Fehler-Logebene.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt zugeordnet.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt zugeordnet.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	Wird verwendet, um das Anwendungsprotokoll (HTTP) zu bestimmen und als Label zugeordnet.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`request_uri`	`event.idm.read_only_udm.target.url`	Direkt zugeordnet.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	Direkt zugeordnet, in eine Ganzzahl konvertiert.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Direkt zugeordnet, in eine Ganzzahl konvertiert.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Direkt zugeordnet.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	Einer Aktion zugeordnet. „Weiter“ wird in „ZULASSEN“ umgewandelt. Andere Werte werden in „BLOCK“ umgewandelt.
`security_result`	`event.idm.read_only_udm.security_result`	Wird in das security_result-Objekt eingefügt.
`session_id`	`event.idm.read_only_udm.network.session_id`	Direkt zugeordnet.
`severity`	`event.idm.read_only_udm.security_result.severity`	Schweregrad zugeordnet. In UDM-Schweregradwerte umgewandelt (z.B. „Error“ –> „ERROR“, „Informational“ –> „INFORMATIONAL“
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	Direkt zugeordnet.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `snat` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	Direkt zugeordnet.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	Direkt zugeordnet, in eine Ganzzahl konvertiert.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Haupt-Assets zu ermitteln.
`src_port`	`event.idm.read_only_udm.principal.port`	Direkt zugeordnet.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	Direkt zugeordnet.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Direkt zugeordnet.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	Direkt zugeordnet.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`status`	`event.idm.read_only_udm.security_result.summary`	Direkt zugeordnet für `scriptd`-Prozesslogs.
`summary`	`event.idm.read_only_udm.security_result.summary`	Für einige Logtypen direkt zugeordnet.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	Die Daten werden geparst, um Systeminformationen zu extrahieren und als Labels dem Haupt-Asset zuzuordnen.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	Direkt zugeordnet für `scriptd`-Prozesslogs.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Direkt zugeordnet. Wird auch verwendet, um die IP-Adresse des Ziel-Assets zu ermitteln. Legt `has_target` auf „true“ fest.
`targetPort`	`event.idm.read_only_udm.target.port`	Direkt zugeordnet, in eine Ganzzahl konvertiert.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt zugeordnet.
`timestamp`	`event.timestamp`	Direkt nach dem Parsen und Rebasen zugeordnet.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	Direkt zugeordnet.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	Direkt zugeordnet. Wenn der Wert HTTP/1.1 ist, wird „HTTP“ zugeordnet.
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Direkt zugeordnet. Wird auch verwendet, um den Hostnamen des Haupt-Assets zu füllen. Legt `has_principal` auf „true“ fest.
`uri`	`event.idm.read_only_udm.target.url`	Direkt zugeordnet.
`uri_path`	`event.idm.read_only_udm.target.url`	Direkt zugeordnet, mit `uri_query` verkettet, falls vorhanden.
`url`	`event.idm.read_only_udm.principal.url`	Direkt zugeordnet.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	Direkt zugeordnet.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Direkt zugeordnet.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	Direkt zugeordnet. Wird auch zum Füllen der Zielnutzer-ID verwendet. Legt `has_principal_user` auf „true“ fest.
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Fest codiert auf „F5“.
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt zugeordnet.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `vs` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Direkt aus dem Schlüssel `vs_name` in den geparsten Schlüssel/Wert-Paaren zugeordnet.
–	`event.idm.read_only_udm.metadata.event_type`	Wird von der Parserlogik anhand des Vorhandenseins bestimmter Felder bestimmt. Die Standardeinstellung ist `GENERIC_EVENT`. Kann `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE` oder `NETWORK_HTTP` sein.
–	`event.idm.read_only_udm.metadata.product_name`	Fest codiert auf „BIG-IP Local Traffic Manager (LTM)“.
–	`event.idm.read_only_udm.metadata.vendor_name`	Fest codiert auf „F5“.
–	`event.idm.read_only_udm.metadata.event_timestamp`	Aus der `event.timestamp` der obersten Ebene kopiert.
–	`event.idm.read_only_udm.security_result.severity`	Wird durch die Parserlogik basierend auf den Feldern `severity` oder `Level` bestimmt, falls vorhanden. Die Standardeinstellung ist `UNKNOWN_SEVERITY`. Kann `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH` oder `CRITICAL` sein.
–	`event.idm.read_only_udm.security_result.summary`	Legen Sie für bestimmte `apmd`-Logs „Authentication failure“ (Authentifizierungsfehler) fest.
–	`event.idm.read_only_udm.extensions.auth.type`	Legen Sie für bestimmte `apmd`- und `sshd`-Logs „VPN“ fest. Andernfalls legen Sie `AUTHTYPE_UNSPECIFIED` für `USER_LOGIN`- und `USER_LOGOUT`-Ereignisse fest.
–	`event.idm.read_only_udm.network.ip_protocol`	Wenn `proto` nicht vorhanden ist, wird standardmäßig „TCP“ verwendet. Andernfalls wird der Wert durch das Feld `proto` bestimmt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten