이 페이지는 Cloud Translation API를 통해 번역되었습니다.

F5 BIG-IP LTM 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 전달자를 사용하여 F5 BIG-IP Local Traffic Manager (LTM) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 F5_BIGIP_LTM 수집 라벨이 있는 파서에 적용됩니다.

F5 BIG-IP LTM 구성

루트 사용자 인증 정보를 사용하여 SSH에 로그인합니다.
다음 명령어를 사용하여 트래픽 관리 셸 (tmsh)에 로그인합니다.

tmsh
다음 명령어를 사용하여 필터링된 로그 메시지를 원격 syslog 서버로 전송합니다.

modify /sys syslog remote-servers none
remote-servers 문을 삭제한 다음 필터 규칙과 원격 서버를 정의하는 syslog include 문을 추가합니다.
원격 서버를 참조하는 필수 syslog 필터를 정의하려면 다음 명령어를 사용합니다.

edit /sys syslog all-properties

include none 명령어를 다음 필터로 바꾸고 IP 주소와 포트 번호를 추가합니다.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

IP_ADDRESS를 Google Security Operations 전달자 IP 주소로, port를 높은 포트 번호로 바꿉니다.

텍스트 편집기를 종료하려면 Esc를 누른 후 wq!를 입력합니다.
다음 명령어를 사용하여 구성을 저장합니다.

save /sys config

Google Security Operations 전달자 및 syslog를 구성하여 F5 BIG-IP LTM 로그 수집

SIEM 설정 > 포워더로 이동합니다.
새 전달자 추가를 클릭합니다.
전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
수집기 이름 필드에 이름을 입력합니다.
로그 유형으로 F5 BIGIP LTM을 선택합니다.
수집기 유형으로 Syslog를 선택합니다.
다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 프로토콜을 지정합니다.
- 주소: Google Security Operations 전달자 IP 주소를 지정합니다.
- 포트: 포트를 지정합니다.
제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요. 각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 키-값 형식과 syslog 형식을 모두 처리하여 F5 BIG-IP Local Traffic Manager (LTM) 로그를 정규화합니다. IP 주소, 사용자 이름, 작업, 설명과 같은 필드를 추출하여 UDM에 매핑하고, 네트워크 연결, 사용자 로그인/로그아웃, 일반 이벤트를 비롯한 로그 콘텐츠와 추출된 필드를 기반으로 이벤트를 분류합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	파싱된 키-값 쌍의 `Access_Profile` 키에서 직접 매핑됩니다.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	파싱된 키-값 쌍의 `Client_IP` 키에서 직접 매핑됩니다. 주요 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	파싱된 키-값 쌍의 `Country` 키에서 직접 매핑됩니다.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	파싱된 키-값 쌍의 `Listener` 키에서 직접 매핑됩니다.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	파싱된 키-값 쌍의 `Session_ID` 키에서 직접 매핑됩니다.
`State`	`event.idm.read_only_udm.principal.location.state`	파싱된 키-값 쌍의 `State` 키에서 직접 매핑됩니다.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	파싱된 키-값 쌍의 `Virtual_IP` 키에서 직접 매핑됩니다. 타겟 애셋 IP를 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`about`	`event.idm.read_only_udm.about`	원시 로그에 있고 성공적으로 파싱된 경우 `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade`, `device`과 같은 다양한 필드에서 채워집니다.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	`scriptd` 프로세스 로그에 직접 매핑됩니다.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	직접 매핑됩니다.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `blade` 키에서 직접 매핑됩니다.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	직접 매핑되고 부호 없는 정수로 변환됩니다.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	직접 매핑되고 부호 없는 정수로 변환됩니다.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `client` 키에서 직접 매핑됩니다.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 주요 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`client_port`	`event.idm.read_only_udm.principal.port`	직접 매핑되고 정수로 변환됩니다.
`collection_time`	`event.timestamp`	로그 항목의 타임스탬프가 이벤트 타임스탬프로 사용됩니다.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	`CROND` 프로세스 로그 및 일부 `logger` 로그에 직접 매핑됩니다.
`data`	`message`	원시 로그 메시지입니다. 이는 파싱되어 다양한 UDM 필드를 채우는 데 사용됩니다.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	일부 로그 유형의 경우 직접 매핑되거나 보안 결과 설명의 일부로 사용됩니다.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	직접 매핑됩니다. 주요 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	직접 매핑됩니다. 타겟 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`dest_port`	`event.idm.read_only_udm.target.port`	직접 매핑됩니다.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	호스트 이름 또는 IP를 추출하기 위해 파싱되었습니다. 주 호스트 이름 또는 중개자 호스트 이름을 채우는 데 사용됩니다.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	파싱된 키-값 쌍의 `errdefs_msgno` 키에서 직접 매핑됩니다.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	제공된 예시에서는 매핑되지 않았지만, 사용 가능한 경우 대륙에 매핑됩니다.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	직접 매핑됩니다.
`geoState`	`event.idm.read_only_udm.principal.location.state`	직접 매핑됩니다.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	직접 매핑됩니다.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	직접 매핑됩니다. 파싱된 사용자 에이전트로도 변환됩니다.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	IP를 추출하고 기본 IP 및 기본 애셋 IP로 병합하기 위해 파싱됩니다.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	직접 매핑됩니다. 타겟 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	직접 매핑됩니다. 타겟 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`http_method`	`event.idm.read_only_udm.network.http.method`	직접 매핑됩니다. 있는 경우 `event_type`를 `NETWORK_HTTP`로 설정합니다.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 주요 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`kv_msg`	다양한 필드	키-값 쌍으로 파싱되어 다양한 UDM 필드를 채우는 데 사용됩니다.
`Level`	`event.idm.read_only_udm.security_result.severity`	`severity` 필드가 없는 경우 심각도에 매핑됩니다. UDM 심각도 값으로 변환됩니다 (예: 'Info' -> 'INFORMATIONAL').
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	`request_uri` 또는 `description`를 추출하기 위해 추가로 파싱됩니다.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	원시 로그의 `log_type` 필드에서 직접 매핑됩니다.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	심각도에 매핑됩니다. UDM 심각도 값으로 변환됩니다 (예: 'warning' -> 'MEDIUM', 'err' -> 'HIGH') 알림/중요한 이벤트 로직에도 사용됩니다.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 주요 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`method`	`event.idm.read_only_udm.network.http.method`	직접 매핑됩니다. `event_type`를 `NETWORK_HTTP`로 설정합니다.
`method_req`	`event.idm.read_only_udm.network.http.method`	직접 매핑됩니다.
`msg1`	`event.idm.read_only_udm.security_result.description`	추가로 파싱되지 않은 경우 보안 결과 설명으로 사용됩니다.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `node` 키에서 직접 매핑됩니다.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	직접 매핑됩니다.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	직접 매핑됩니다.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `pool_member` 키에서 직접 매핑됩니다.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	직접 매핑됩니다. 주요 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	직접 매핑됩니다. 주요 애셋 IP와 관찰자 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`principalPort`	`event.idm.read_only_udm.principal.port`	직접 매핑되고 정수로 변환됩니다.
`process`	`event.idm.read_only_udm.target.application`	직접 매핑됩니다.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	직접 매핑됩니다.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	조회를 사용하여 프로토콜 번호를 프로토콜 이름으로 변환한 후 IP 프로토콜에 매핑됩니다.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `query` 키에서 직접 매핑됩니다.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`reason`	`event.idm.read_only_udm.security_result.description`	경고 또는 오류 로그 수준이 있는 `apmd` 프로세스 로그에 직접 매핑됩니다.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	직접 매핑됩니다.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	애플리케이션 프로토콜 (HTTP)을 확인하는 데 사용되며 라벨로 매핑됩니다.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`request_uri`	`event.idm.read_only_udm.target.url`	직접 매핑됩니다.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	직접 매핑되고 정수로 변환됩니다.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	직접 매핑되고 정수로 변환됩니다.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	직접 매핑됩니다.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	작업에 매핑됩니다. 'Continue'가 'ALLOW'로 변환됩니다. 다른 값은 'BLOCK'으로 변환됩니다.
`security_result`	`event.idm.read_only_udm.security_result`	security_result 객체로 병합되었습니다.
`session_id`	`event.idm.read_only_udm.network.session_id`	직접 매핑됩니다.
`severity`	`event.idm.read_only_udm.security_result.severity`	심각도에 매핑됩니다. UDM 심각도 값으로 변환됩니다 (예: 'Error' -> 'ERROR', 'Informational' -> 'INFORMATIONAL').
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	직접 매핑됩니다.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `snat` 키에서 직접 매핑됩니다.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	직접 매핑됩니다.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	직접 매핑되고 정수로 변환됩니다.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 주요 애셋 IP를 채우는 데도 사용됩니다.
`src_port`	`event.idm.read_only_udm.principal.port`	직접 매핑됩니다.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	직접 매핑됩니다.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	직접 매핑됩니다.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`status`	`event.idm.read_only_udm.security_result.summary`	`scriptd` 프로세스 로그에 직접 매핑됩니다.
`summary`	`event.idm.read_only_udm.security_result.summary`	일부 로그 유형의 경우 직접 매핑됩니다.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	시스템 정보를 추출하고 이를 기본 애셋에 라벨로 매핑하기 위해 파싱됩니다.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	`scriptd` 프로세스 로그에 직접 매핑됩니다.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	직접 매핑됩니다. 타겟 애셋 IP를 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`targetPort`	`event.idm.read_only_udm.target.port`	직접 매핑되고 정수로 변환됩니다.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`timestamp`	`event.timestamp`	파싱 및 리베이스 후 직접 매핑됩니다.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	직접 매핑됩니다.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	직접 매핑됩니다. 값이 HTTP/1.1이면 'HTTP'가 매핑됩니다.
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	직접 매핑됩니다. 주요 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`uri`	`event.idm.read_only_udm.target.url`	직접 매핑됩니다.
`uri_path`	`event.idm.read_only_udm.target.url`	직접 매핑되며, 있는 경우 `uri_query`와 연결됩니다.
`url`	`event.idm.read_only_udm.principal.url`	직접 매핑됩니다.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	직접 매핑됩니다.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	직접 매핑됩니다.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	직접 매핑됩니다. 타겟 사용자 ID를 채우는 데도 사용됩니다. `has_principal_user`를 true로 설정합니다.
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	'F5'로 하드코딩됩니다.
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	직접 매핑됩니다.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `vs` 키에서 직접 매핑됩니다.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `vs_name` 키에서 직접 매핑됩니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.event_type`	특정 필드의 존재 여부에 따라 파서 논리에 의해 결정됩니다. 기본값은 `GENERIC_EVENT`입니다. `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE`, `NETWORK_HTTP`일 수 있습니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.product_name`	'BIG-IP Local Traffic Manager (LTM)'으로 하드코딩됩니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.vendor_name`	'F5'로 하드코딩됩니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.event_timestamp`	최상위 `event.timestamp`에서 복사됨
해당 사항 없음	`event.idm.read_only_udm.security_result.severity`	`severity` 또는 `Level` 필드가 있는 경우 파서 로직에 따라 결정됩니다. 기본값은 `UNKNOWN_SEVERITY`입니다. `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH`, `CRITICAL`일 수 있습니다.
해당 사항 없음	`event.idm.read_only_udm.security_result.summary`	특정 `apmd` 로그의 경우 '인증 실패'로 설정됩니다.
해당 사항 없음	`event.idm.read_only_udm.extensions.auth.type`	특정 `apmd` 및 `sshd` 로그의 경우 'VPN'으로 설정됩니다. 그 외의 경우 `USER_LOGIN` 및 `USER_LOGOUT` 이벤트에 대해 `AUTHTYPE_UNSPECIFIED`로 설정합니다.
해당 사항 없음	`event.idm.read_only_udm.network.ip_protocol`	`proto`가 없으면 기본값은 'TCP'입니다. 그렇지 않으면 `proto` 필드에 따라 결정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.