Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log F5 BIG-IP LTM

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log F5 BIG-IP Local Traffic Manager (LTM) menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan F5_BIGIP_LTM.

Mengonfigurasi F5 BIG-IP LTM

Login ke SSH menggunakan kredensial root.
Login ke Traffic Management Shell (tmsh) dengan perintah berikut:

tmsh
Kirim pesan log yang difilter ke server syslog jarak jauh dengan perintah berikut:

modify /sys syslog remote-servers none
Hapus pernyataan remote-servers, lalu tambahkan pernyataan syslog include yang menentukan aturan filter dan server jarak jauh.
Untuk menentukan filter syslog yang diperlukan yang mereferensikan server jarak jauh, gunakan perintah berikut:

edit /sys syslog all-properties

Ganti perintah include none dengan filter berikut, lalu tambahkan alamat IP dan nomor port.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

Ganti IP_ADDRESS dengan alamat IP penerusan Google Security Operations dan port dengan nomor port tinggi.

Untuk keluar dari editor teks, tekan Esc, lalu masukkan wq!.
Simpan konfigurasi dengan perintah berikut:

save /sys config

Mengonfigurasi penerusan dan syslog Google Security Operations untuk menyerap log LTM F5 BIG-IP

Buka Setelan SIEM > Pengirim.
Klik Tambahkan penerusan baru.
Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Nama pengumpul, ketik nama.
Pilih F5 BIGIP LTM sebagai Log type.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input wajib berikut:
- Protocol: tentukan protokol.
- Alamat: tentukan alamat IP penerusan Google Security Operations.
- Port: tentukan port.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini menormalisasi log F5 BIG-IP Local Traffic Manager (LTM), yang menangani format key-value dan syslog. Fitur ini mengekstrak kolom seperti alamat IP, nama pengguna, tindakan, dan deskripsi, memetakannya ke UDM, dan mengategorikan peristiwa berdasarkan konten log dan kolom yang diekstrak, termasuk koneksi jaringan, login/logout pengguna, dan peristiwa umum.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kunci `Access_Profile` dalam pasangan nilai kunci yang diuraikan.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Dipetakan langsung dari kunci `Client_IP` dalam pasangan nilai kunci yang diuraikan. Juga digunakan untuk mengisi IP aset utama. Menetapkan `has_principal` ke benar (true).
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Dipetakan langsung dari kunci `Country` dalam pasangan nilai kunci yang diuraikan.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kunci `Listener` dalam pasangan nilai kunci yang diuraikan.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kunci `Session_ID` dalam pasangan nilai kunci yang diuraikan.
`State`	`event.idm.read_only_udm.principal.location.state`	Dipetakan langsung dari kunci `State` dalam pasangan nilai kunci yang diuraikan.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	Dipetakan langsung dari kunci `Virtual_IP` dalam pasangan nilai kunci yang diuraikan. Juga digunakan untuk mengisi IP aset target. Menetapkan `has_target` ke benar (true).
`about`	`event.idm.read_only_udm.about`	Diisi dari berbagai kolom seperti `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade`, dan `device` jika ada di log mentah dan berhasil diuraikan.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	Dipetakan langsung untuk log proses `scriptd`.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	Dipetakan secara langsung.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `blade` dalam pasangan nilai kunci yang diuraikan.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	Dipetakan secara langsung, dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	Dipetakan secara langsung, dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `client` dalam pasangan nilai kunci yang diuraikan.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama. Menetapkan `has_principal` ke benar (true).
`client_port`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung, dikonversi menjadi bilangan bulat.
`collection_time`	`event.timestamp`	Stempel waktu Entri Log digunakan sebagai stempel waktu peristiwa.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	Dipetakan langsung untuk log proses `CROND` dan beberapa log `logger`.
`data`	`message`	Pesan log mentah. Data ini diuraikan dan digunakan untuk mengisi berbagai kolom UDM.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan secara langsung.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan secara langsung.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	Dipetakan secara langsung untuk beberapa jenis log, atau digunakan sebagai bagian dari deskripsi hasil keamanan.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset utama. Menetapkan `has_principal` ke benar (true).
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset target. Menetapkan `has_principal` ke benar (true).
`dest_port`	`event.idm.read_only_udm.target.port`	Dipetakan secara langsung.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	Diuraikan untuk mengekstrak nama host atau IP. Digunakan untuk mengisi nama host utama atau nama host perantara.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kunci `errdefs_msgno` dalam pasangan nilai kunci yang diuraikan.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan secara langsung.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan secara langsung.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	Tidak dipetakan dalam contoh yang diberikan, tetapi akan dipetakan ke benua jika tersedia.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	Dipetakan secara langsung.
`geoState`	`event.idm.read_only_udm.principal.location.state`	Dipetakan secara langsung.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	Dipetakan secara langsung.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	Dipetakan secara langsung. Juga dikonversi menjadi agen pengguna yang diuraikan.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Diuraikan untuk mengekstrak IP dan menggabungkannya ke IP utama dan IP aset utama.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset target. Menetapkan `has_target` ke benar (true).
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset target. Menetapkan `has_target` ke benar (true).
`http_method`	`event.idm.read_only_udm.network.http.method`	Dipetakan secara langsung. Menetapkan `event_type` ke `NETWORK_HTTP` jika ada.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama. Menetapkan `has_principal` ke benar (true).
`kv_msg`	Berbagai kolom	Diuraikan sebagai key-value pair dan digunakan untuk mengisi berbagai kolom UDM.
`Level`	`event.idm.read_only_udm.security_result.severity`	Dipetakan ke tingkat keparahan jika kolom `severity` tidak ada. Dikonversi ke nilai tingkat keparahan UDM (misalnya, "Info" -> "INFORMASI").
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	Selanjutnya diuraikan untuk mengekstrak `request_uri` atau `description`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Dipetakan langsung dari kolom `log_type` log mentah.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	Dipetakan ke tingkat keparahan. Dikonversi ke nilai tingkat keparahan UDM (misalnya, "warning" -> "MEDIUM", "err" -> "HIGH"). Juga digunakan untuk logika peristiwa penting/pemberitahuan.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama. Menetapkan `has_principal` ke benar (true).
`method`	`event.idm.read_only_udm.network.http.method`	Dipetakan secara langsung. Menetapkan `event_type` ke `NETWORK_HTTP`.
`method_req`	`event.idm.read_only_udm.network.http.method`	Dipetakan secara langsung.
`msg1`	`event.idm.read_only_udm.security_result.description`	Digunakan sebagai deskripsi hasil keamanan jika tidak diuraikan lebih lanjut.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `node` dalam pasangan nilai kunci yang diuraikan.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan secara langsung.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan secara langsung.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `pool_member` dalam pasangan nilai kunci yang diuraikan.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset utama. Menetapkan `has_principal` ke benar (true).
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama dan IP pengamat. Menetapkan `has_principal` ke benar (true).
`principalPort`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung, dikonversi menjadi bilangan bulat.
`process`	`event.idm.read_only_udm.target.application`	Dipetakan secara langsung.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan secara langsung.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Dipetakan ke protokol IP setelah mengonversi nomor protokol menjadi nama protokol menggunakan pencarian.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `query` dalam pasangan nilai kunci yang diuraikan.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`reason`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung untuk log proses `apmd` dengan tingkat log peringatan atau error.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan secara langsung.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan secara langsung.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	Digunakan untuk menentukan protokol aplikasi (HTTP) dan dipetakan sebagai label.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`request_uri`	`event.idm.read_only_udm.target.url`	Dipetakan secara langsung.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	Dipetakan langsung, dikonversi menjadi bilangan bulat.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Dipetakan langsung, dikonversi menjadi bilangan bulat.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Dipetakan secara langsung.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	Dipetakan ke tindakan. "Lanjutkan" dikonversi menjadi "IZINKAN". Nilai lainnya dikonversi menjadi "BLOCK".
`security_result`	`event.idm.read_only_udm.security_result`	Digabungkan ke dalam objek security_result.
`session_id`	`event.idm.read_only_udm.network.session_id`	Dipetakan secara langsung.
`severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan ke tingkat keparahan. Dikonversi ke nilai tingkat keparahan UDM (misalnya, "Error" -> "ERROR", "Informational" -> "INFORMATIONAL").
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	Dipetakan secara langsung.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `snat` dalam pasangan nilai kunci yang diuraikan.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	Dipetakan secara langsung.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	Dipetakan langsung, dikonversi menjadi bilangan bulat.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama.
`src_port`	`event.idm.read_only_udm.principal.port`	Dipetakan secara langsung.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	Dipetakan secara langsung.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan secara langsung.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	Dipetakan secara langsung.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`status`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung untuk log proses `scriptd`.
`summary`	`event.idm.read_only_udm.security_result.summary`	Dipetakan secara langsung untuk beberapa jenis log.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	Diparsing untuk mengekstrak informasi sistem dan memetakannya sebagai label ke aset utama.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung untuk log proses `scriptd`.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset target. Menetapkan `has_target` ke benar (true).
`targetPort`	`event.idm.read_only_udm.target.port`	Dipetakan langsung, dikonversi menjadi bilangan bulat.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan secara langsung.
`timestamp`	`event.timestamp`	Dipetakan secara langsung setelah parsing dan rebasing.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	Dipetakan secara langsung.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	Dipetakan secara langsung. Jika nilainya adalah HTTP/1.1, maka "HTTP" akan dipetakan.
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset utama. Menetapkan `has_principal` ke benar (true).
`uri`	`event.idm.read_only_udm.target.url`	Dipetakan secara langsung.
`uri_path`	`event.idm.read_only_udm.target.url`	Dipetakan secara langsung, digabungkan dengan `uri_query` jika ada.
`url`	`event.idm.read_only_udm.principal.url`	Dipetakan secara langsung.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	Dipetakan secara langsung.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan secara langsung.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	Dipetakan secara langsung. Juga digunakan untuk mengisi ID pengguna target. Menetapkan `has_principal_user` ke benar (true).
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Dikodekan secara permanen ke "F5".
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan secara langsung.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `vs` dalam pasangan nilai kunci yang diuraikan.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Dipetakan langsung dari kunci `vs_name` dalam pasangan nilai kunci yang diuraikan.
T/A	`event.idm.read_only_udm.metadata.event_type`	Ditentukan oleh logika parser berdasarkan keberadaan kolom tertentu. Nilai defaultnya adalah `GENERIC_EVENT`. Dapat berupa `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE`, atau `NETWORK_HTTP`.
T/A	`event.idm.read_only_udm.metadata.product_name`	Dikodekan secara permanen ke "BIG-IP Local Traffic Manager (LTM)".
T/A	`event.idm.read_only_udm.metadata.vendor_name`	Dikodekan secara permanen ke "F5".
T/A	`event.idm.read_only_udm.metadata.event_timestamp`	Disalin dari `event.timestamp` tingkat teratas.
T/A	`event.idm.read_only_udm.security_result.severity`	Ditentukan oleh logika parser berdasarkan kolom `severity` atau `Level`, jika ada. Setelan defaultnya adalah `UNKNOWN_SEVERITY`. Dapat berupa `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH`, atau `CRITICAL`.
T/A	`event.idm.read_only_udm.security_result.summary`	Disetel ke "Kegagalan autentikasi" untuk log `apmd` tertentu.
T/A	`event.idm.read_only_udm.extensions.auth.type`	Disetel ke "VPN" untuk log `apmd` dan `sshd` tertentu. Jika tidak, tetapkan ke `AUTHTYPE_UNSPECIFIED` untuk peristiwa `USER_LOGIN` dan `USER_LOGOUT`.
T/A	`event.idm.read_only_udm.network.ip_protocol`	Defaultnya adalah "TCP" jika `proto` tidak ada. Jika tidak, ditentukan oleh kolom `proto`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.