Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Fortinet FortiAnalyzer

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan dan menyerap log Fortinet FortiAnalyzer ke Google Security Operations menggunakan Bindplane. Parser mentransformasi log ke dalam format UDM. Proses ini menangani pesan berformat CEF dan nilai kunci, mengekstrak kolom, melakukan transformasi data (seperti mengonversi stempel waktu dan memperkaya protokol IP), serta memetakannya ke kolom UDM yang sesuai berdasarkan jenis dan subjenis peristiwa. Parser juga menyertakan logika khusus untuk menangani koneksi jaringan, kueri DNS, permintaan HTTP, dan berbagai peristiwa keamanan, yang memperkaya UDM dengan detail seperti protokol aplikasi, informasi pengguna, dan hasil keamanan.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Fortinet FortiAnalyzer.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIANALYZER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Fortinet FortiAnalyzer

Login ke FortiAnalyzer.
Aktifkan mode CLI.

Jalankan perintah berikut:

config system syslog
  edit NAME
    set ip IP_ADDRESS
    set port PORT
    set reliable enable or disable
  next
end

Perbarui kolom berikut:
- NAME: nama server syslog.
- IP_ADDRESS: masukkan alamat IPv4 agen Bindplane.
- PORT: masukkan nomor port untuk agen Bindplane; misalnya, 514.
- enable or disable: jika Anda menetapkan nilai reliable sebagai enable, data akan dikirim sebagai TCP; jika Anda menetapkan nilai reliable sebagai disable, data akan dikirim sebagai UDP.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`act`	`security_result.action_details`	Nilai dari kolom `act` saat log dalam format CEF.
`action`	`security_result.action_details`	Nilai dari kolom `action` saat log tidak dalam format CEF. Digunakan untuk mendapatkan `security_result.action` dan `security_result.description`.
`action`	`security_result.action`	Diturunkan. Jika `action` adalah `accept`, `passthrough`, `pass`, `permit`, `detected`, atau `login`, maka `ALLOW`. Jika `deny`, `dropped`, `blocked`, atau `close`, maka `BLOCK`. Jika `timeout`, maka `FAIL`. Jika tidak, `UNKNOWN_ACTION`.
`action`	`security_result.description`	Diturunkan. Tetapkan ke `Action:` + `security_result.action` turunan.
`ad.app`	`target.application`	Nilai dari kolom `ad.app` saat log dalam format CEF. Jika nilainya adalah `HTTPS`, `HTTP`, `DNS`, `DHCP`, atau `SMB`, nilai tersebut dipetakan ke `network.application_protocol`.
`ad.appact`	`additional.fields`	Nilai dari kolom `ad.appact` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `appact`.
`ad.appcat`	`additional.fields`	Nilai dari kolom `ad.appcat` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `appcat`.
`ad.appid`	`additional.fields`	Nilai dari kolom `ad.appid` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `appid`.
`ad.applist`	`additional.fields`	Nilai dari kolom `ad.applist` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `applist`.
`ad.apprisk`	`additional.fields`	Nilai dari kolom `ad.apprisk` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `apprisk`.
`ad.cipher_suite`	`network.tls.cipher`	Nilai dari kolom `ad.cipher_suite` saat log dalam format CEF.
`ad.countapp`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.countweb`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.dstcity`	`target.location.city`	Nilai dari kolom `ad.dstcity` saat log dalam format CEF.
`ad.dstcountry`	`target.location.country_or_region`	Nilai dari kolom `ad.dstcountry` saat log dalam format CEF.
`ad.dstintf`	`security_result.detection_fields`	Nilai dari kolom `ad.dstintf` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `dstintf`.
`ad.dstintfrole`	`security_result.detection_fields`	Nilai dari kolom `ad.dstintfrole` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `dstintfrole`.
`ad.dstregion`	`target.location.state`	Nilai dari kolom `ad.dstregion` saat log dalam format CEF.
`ad.duration`	`network.session_duration.seconds`	Nilai dari kolom `ad.duration` saat log dalam format CEF.
`ad.eventtime`	`metadata.event_timestamp`	Nilai dari kolom `ad.eventtime` saat log dalam format CEF.
`ad.http_agent`	`network.http.parsed_user_agent`	Nilai dari kolom `ad.http_agent` saat log dalam format CEF.
`ad.http_method`	`network.http.method`	Nilai dari kolom `ad.http_method` saat log dalam format CEF.
`ad.http_refer`	`network.http.referral_url`	Nilai dari kolom `ad.http_refer` saat log dalam format CEF.
`ad.http_request_bytes`	`network.sent_bytes`	Nilai dari kolom `ad.http_request_bytes` saat log dalam format CEF.
`ad.http_response_bytes`	`network.received_bytes`	Nilai dari kolom `ad.http_response_bytes` saat log dalam format CEF.
`ad.http_retcode`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.http_url`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.lanin`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.lanout`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.logid`	`metadata.product_log_id`	Nilai dari kolom `ad.logid` saat log dalam format CEF.
`ad.mastersrcmac`	`principal.mac`	Nilai dari kolom `ad.mastersrcmac` saat log dalam format CEF.
`ad.original_src`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.original_srccountry`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.poluuid`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.policyid`	`security_result.rule_id`	Nilai dari kolom `ad.policyid` saat log dalam format CEF.
`ad.policyname`	`security_result.rule_name`	Nilai dari kolom `ad.policyname` saat log dalam format CEF.
`ad.policytype`	`security_result.rule_type`	Nilai dari kolom `ad.policytype` saat log dalam format CEF.
`ad.profile`	`target.resource.name`	Nilai dari kolom `ad.profile` saat log dalam format CEF. Juga menetapkan `target.resource.resource_type` ke `ACCESS_POLICY`.
`ad.proto`	`network.ip_protocol`	Nilai dari kolom `ad.proto` saat log dalam format CEF. Diuraikan menggunakan file `parse_ip_protocol.include`.
`ad.qclass`	`network.dns.questions.class`	Nilai dari kolom `ad.qclass` saat log dalam format CEF. Dipetakan menggunakan file `dns_query_class_mapping.include`.
`ad.qname`	`network.dns.questions.name`	Nilai dari kolom `ad.qname` saat log dalam format CEF.
`ad.qtype`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.qtypeval`	`network.dns.questions.type`	Nilai dari kolom `ad.qtypeval` saat log dalam format CEF.
`ad.rcvddelta`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.rcvdpkt`	`additional.fields`	Nilai dari kolom `ad.rcvdpkt` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `receivedPackets`.
`ad.sentdelta`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.sentpkt`	`additional.fields`	Nilai dari kolom `ad.sentpkt` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `sentPackets`.
`ad.server_pool_name`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.sourceTranslatedAddress`	`principal.nat_ip`	Nilai dari kolom `ad.sourceTranslatedAddress` saat log dalam format CEF.
`ad.sourceTranslatedPort`	`principal.nat_port`	Nilai dari kolom `ad.sourceTranslatedPort` saat log dalam format CEF.
`ad.src`	`principal.ip`	Nilai dari kolom `ad.src` saat log dalam format CEF.
`ad.srccountry`	`principal.location.country_or_region`	Nilai dari kolom `ad.srccountry` saat log dalam format CEF.
`ad.srcintf`	`security_result.detection_fields`	Nilai dari kolom `ad.srcintf` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `srcintf`.
`ad.srcintfrole`	`security_result.detection_fields`	Nilai dari kolom `ad.srcintfrole` saat log dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `srcintfrole`.
`ad.srcmac`	`principal.mac`	Nilai dari kolom `ad.srcmac` saat log dalam format CEF.
`ad.srcserver`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.spt`	`principal.port`	Nilai dari kolom `ad.spt` saat log dalam format CEF.
`ad.status`	`security_result.summary`	Nilai dari kolom `ad.status` saat log dalam format CEF.
`ad.subtype`	`metadata.product_event_type`	Digunakan dengan `ad.logid` untuk membuat `metadata.product_event_type` saat log dalam format CEF. Juga digunakan untuk mendapatkan `metadata.event_type` dan memetakan kolom tertentu untuk peristiwa DNS dan HTTP.
`ad.trandisp`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.tz`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.utmaction`	`security_result.action`	Nilai dari kolom `ad.utmaction` saat log dalam format CEF. Digunakan untuk mendapatkan `security_result.action` dan `security_result.description`.
`ad.user_name`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.vd`	`principal.administrative_domain`	Nilai dari kolom `ad.vd` saat log dalam format CEF.
`ad.vwlid`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.wanin`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.wanout`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.xid`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ad.x509_cert_subject`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`agent`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`appid`	`additional.fields`	Nilai dari kolom `appid` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `appid`.
`app`	`target.application`	Nilai dari kolom `app` saat log tidak dalam format CEF. Jika nilainya adalah `HTTPS`, `HTTP`, `DNS`, `DHCP`, atau `SMB`, nilai tersebut dipetakan ke `network.application_protocol`.
`appact`	`additional.fields`	Nilai dari kolom `appact` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `appact`.
`appcat`	`additional.fields`	Nilai dari kolom `appcat` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `appcat`.
`applist`	`additional.fields`	Nilai dari kolom `applist` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `applist`.
`apprisk`	`additional.fields`	Nilai dari kolom `apprisk` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `apprisk`.
`cat`	`security_result1.rule_id`	Nilai dari kolom `cat` saat log tidak dalam format CEF.
`catdesc`	`security_result.description`	Nilai dari kolom `catdesc` saat log tidak dalam format CEF. Hanya digunakan jika `catdesc` tidak kosong.
`centralnatid`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`cipher_suite`	`network.tls.cipher`	Nilai dari kolom `cipher_suite` saat log tidak dalam format CEF.
`countssl`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`crlevel`	`security_result.severity`	Nilai dari kolom `crlevel` saat log tidak dalam format CEF. Digunakan untuk mendapatkan `security_result.severity`.
`craction`	`security_result.about.labels`	Nilai dari kolom `craction` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `craction`.
`create_time`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`data`	(tidak dipetakan)	Data log mentah. Tidak dipetakan langsung ke UDM.
`date`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`devname`	`principal.hostname`, `principal.asset.hostname`	Nilai dari kolom `devname` saat log tidak dalam format CEF.
`devid`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`devtype`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`direction`	`network.direction`	Nilai dari kolom `direction` saat log tidak dalam format CEF. Jika `incoming` atau `inbound`, maka `INBOUND`. Jika `outgoing` atau `outbound`, maka `OUTBOUND`.
`dpt`	`target.port`	Nilai dari kolom `dpt` saat log dalam format CEF.
`dstip`	`target.ip`, `target.asset.ip`	Nilai dari kolom `dstip` saat log tidak dalam format CEF.
`dstintf`	`security_result.detection_fields`	Nilai dari kolom `dstintf` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `dstintf`.
`dstintfrole`	`security_result.detection_fields`	Nilai dari kolom `dstintfrole` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `dstintfrole`.
`dstport`	`target.port`	Nilai dari kolom `dstport` saat log tidak dalam format CEF.
`dstregion`	`target.location.state`	Nilai dari kolom `dstregion` saat log tidak dalam format CEF.
`dstuuid`	`target.user.product_object_id`	Nilai dari kolom `dstuuid` saat log tidak dalam format CEF.
`duration`	`network.session_duration.seconds`	Nilai dari kolom `duration` saat log tidak dalam format CEF.
`dstcity`	`target.location.city`	Nilai dari kolom `dstcity` saat log tidak dalam format CEF.
`dstcountry`	`target.location.country_or_region`	Nilai dari kolom `dstcountry` saat log tidak dalam format CEF.
`dstmac`	`target.mac`	Nilai dari kolom `dstmac` saat log tidak dalam format CEF.
`eventtime`	`metadata.event_timestamp`	Nilai dari kolom `eventtime` saat log tidak dalam format CEF. Nilai dikurangi dari mikrodetik menjadi detik.
`eventtype`	`security_result2.rule_type`	Nilai dari kolom `eventtype` saat log tidak dalam format CEF.
`externalID`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`group`	`principal.user.group_identifiers`	Nilai dari kolom `group` saat log tidak dalam format CEF.
`hostname`	`target.hostname`, `target.asset.hostname`	Nilai dari kolom `hostname` saat log tidak dalam format CEF.
`http_agent`	`network.http.parsed_user_agent`	Nilai dari kolom `http_agent` saat log tidak dalam format CEF. Dikonversi menjadi objek agen pengguna yang diuraikan.
`http_method`	`network.http.method`	Nilai dari kolom `http_method` saat log tidak dalam format CEF.
`http_refer`	`network.http.referral_url`	Nilai dari kolom `http_refer` saat log tidak dalam format CEF.
`http_request_bytes`	`network.sent_bytes`	Nilai dari kolom `http_request_bytes` saat log tidak dalam format CEF.
`http_response_bytes`	`network.received_bytes`	Nilai dari kolom `http_response_bytes` saat log tidak dalam format CEF.
`httpmethod`	`network.http.method`	Nilai dari kolom `httpmethod` saat log tidak dalam format CEF.
`in`	`network.received_bytes`	Nilai dari kolom `in` saat log dalam format CEF.
`incidentserialno`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`lanin`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`lanout`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`level`	`security_result.severity`, `security_result.severity_details`	Nilai dari kolom `level` saat log tidak dalam format CEF. Digunakan untuk mendapatkan `security_result.severity`. Jika `error` atau `warning`, maka `HIGH`. Jika `notice`, maka `MEDIUM`. Jika `information` atau `info`, maka `LOW`. Juga menetapkan `security_result.severity_details` ke `level:` + `level`.
`locip`	`principal.ip`, `principal.asset.ip`	Nilai dari kolom `locip` saat log tidak dalam format CEF.
`logdesc`	`metadata.description`	Nilai dari kolom `logdesc` saat log tidak dalam format CEF.
`logid`	`metadata.product_log_id`	Nilai dari kolom `logid` saat log tidak dalam format CEF.
`logver`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`mastersrcmac`	`principal.mac`	Nilai dari kolom `mastersrcmac` saat log tidak dalam format CEF.
`method`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`msg`	`metadata.description`	Nilai dari kolom `msg` saat log tidak dalam format CEF. Juga digunakan untuk `security_result.description` jika `catdesc` kosong.
`out`	`network.sent_bytes`	Nilai dari kolom `out` saat log dalam format CEF.
`outintf`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`policyid`	`security_result.rule_id`	Nilai dari kolom `policyid` saat log tidak dalam format CEF.
`policyname`	`security_result.rule_name`	Nilai dari kolom `policyname` saat log tidak dalam format CEF.
`policytype`	`security_result.rule_type`	Nilai dari kolom `policytype` saat log tidak dalam format CEF.
`poluuid`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`profile`	`target.resource.name`	Nilai dari kolom `profile` saat log tidak dalam format CEF. Juga menetapkan `target.resource.resource_type` ke `ACCESS_POLICY`.
`proto`	`network.ip_protocol`	Nilai dari kolom `proto` saat log tidak dalam format CEF. Diuraikan menggunakan file `parse_ip_protocol.include`.
`qclass`	`network.dns.questions.class`	Nilai dari kolom `qclass` saat log tidak dalam format CEF. Dipetakan menggunakan file `dns_query_class_mapping.include`.
`qname`	`network.dns.questions.name`	Nilai dari kolom `qname` saat log tidak dalam format CEF.
`reason`	`security_result.description`	Nilai dari kolom `reason` saat log tidak dalam format CEF. Hanya digunakan jika `reason` bukan `N/A` dan tidak kosong.
`rcvdbyte`	`network.received_bytes`	Nilai dari kolom `rcvdbyte` saat log tidak dalam format CEF.
`rcvdpkt`	`additional.fields`	Nilai dari kolom `rcvdpkt` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `receivedPackets`.
`remip`	`target.ip`, `target.asset.ip`	Nilai dari kolom `remip` saat log tidak dalam format CEF.
`remport`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`reqtype`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`sentbyte`	`network.sent_bytes`	Nilai dari kolom `sentbyte` saat log tidak dalam format CEF.
`sentpkt`	`additional.fields`	Nilai dari kolom `sentpkt` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `sentPackets`.
`service`	`network.application_protocol`, `target.application`	Nilai dari kolom `service` saat log tidak dalam format CEF. Diuraikan menggunakan file `parse_app_protocol.include`. Jika output parser tidak kosong, output tersebut dipetakan ke `network.application_protocol`. Jika tidak, nilai asli dipetakan ke `target.application`.
`sessionid`	`network.session_id`	Nilai dari kolom `sessionid` saat log tidak dalam format CEF.
`sn`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`sourceTranslatedAddress`	`principal.nat_ip`	Nilai dari kolom `sourceTranslatedAddress` saat log dalam format CEF.
`sourceTranslatedPort`	`principal.nat_port`	Nilai dari kolom `sourceTranslatedPort` saat log dalam format CEF.
`spt`	`principal.port`	Nilai dari kolom `spt` saat log dalam format CEF.
`src`	`principal.ip`	Nilai dari kolom `src` saat log dalam format CEF.
`srcip`	`principal.ip`, `principal.asset.ip`	Nilai dari kolom `srcip` saat log tidak dalam format CEF.
`srcintf`	`security_result.detection_fields`	Nilai dari kolom `srcintf` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `srcintf`.
`srcintfrole`	`security_result.detection_fields`	Nilai dari kolom `srcintfrole` saat log tidak dalam format CEF, ditambahkan sebagai pasangan nilai kunci dengan kunci `srcintfrole`.
`srcmac`	`principal.mac`	Nilai dari kolom `srcmac` saat log tidak dalam format CEF. Tanda hubung diganti dengan titik dua.
`srcport`	`principal.port`	Nilai dari kolom `srcport` saat log tidak dalam format CEF.
`srccountry`	`principal.location.country_or_region`	Nilai dari kolom `srccountry` saat log tidak dalam format CEF. Hanya dipetakan jika tidak `Reserved` dan tidak kosong.
`srcuuid`	`principal.user.product_object_id`	Nilai dari kolom `srcuuid` saat log tidak dalam format CEF.
`srcserver`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`start`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`status`	`security_result.summary`	Nilai dari kolom `status` saat log tidak dalam format CEF.
`subtype`	`metadata.product_event_type`	Digunakan dengan `type` untuk membuat `metadata.product_event_type` saat log tidak dalam format CEF. Juga digunakan untuk mendapatkan `metadata.event_type` dan memetakan kolom tertentu untuk peristiwa DNS dan HTTP.
`time`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`timestamp`	`metadata.event_timestamp`	Nilai dari kolom `timestamp`.
`trandisp`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`transip`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`transport`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`type`	`metadata.product_event_type`	Digunakan dengan `subtype` untuk membuat `metadata.product_event_type` saat log tidak dalam format CEF. Juga digunakan untuk mendapatkan `metadata.event_type`.
`tz`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ui`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`url`	`target.url`	Nilai dari kolom `url` saat log tidak dalam format CEF.
`user`	`principal.user.userid`	Nilai dari kolom `user` saat log tidak dalam format CEF. Hanya dipetakan jika tidak `N/A` dan tidak kosong.
`utmaction`	`security_result.action`, `security_result2.action_details`	Nilai dari kolom `utmaction` saat log tidak dalam format CEF. Digunakan untuk mendapatkan `security_result.action` dan `security_result.description`.
`utmaction`	`security_result.action`	Diturunkan. Jika `utmaction` adalah `accept`, `allow`, `passthrough`, `pass`, `permit`, atau `detected`, maka `ALLOW`. Jika `deny`, `dropped`, `blocked`, atau `block`, maka `BLOCK`. Jika tidak, `UNKNOWN_ACTION`.
`utmaction`	`security_result.description`	Diturunkan. Disetel ke `UTMAction:` + `security_result.action` turunan jika `action1` kosong.
`utmevent`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`vd`	`principal.administrative_domain`	Nilai dari kolom `vd` saat log tidak dalam format CEF.
`vpntunnel`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`wanin`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
`wanout`	(tidak dipetakan)	Tidak dipetakan ke objek IDM.
T/A (Parser Logic)	`about.asset.asset_id`	Diturunkan. Tetapkan ke `Fortinet.` + `product_name` + `:` + `deviceExternalId` jika log dalam format CEF.
T/A (Parser Logic)	`about.hostname`	Diturunkan. Tetapkan ke `auth0` jika log dalam format CEF.
T/A (Parser Logic)	`extensions.auth`	Diturunkan. Objek kosong dibuat saat `metadata.event_type` adalah `USER_LOGIN`.
T/A (Parser Logic)	`extensions.auth.type`	Diturunkan. Tetapkan ke `AUTHTYPE_UNSPECIFIED` saat `metadata.event_type` adalah `USER_LOGIN`.
T/A (Parser Logic)	`metadata.event_type`	Diperoleh berdasarkan berbagai kolom log dan logika dalam parser. Dapat berupa `NETWORK_CONNECTION`, `STATUS_UPDATE`, `GENERIC_EVENT`, `NETWORK_DNS`, `NETWORK_HTTP`, `USER_LOGIN`, `USER_LOGOUT`, atau `NETWORK_UNCATEGORIZED`.
T/A (Parser Logic)	`metadata.log_type`	Diturunkan. Tetapkan ke `FORTINET_FORTIANALYZER`.
T/A (Parser Logic)	`metadata.product_event_type`	Diturunkan. Tetapkan ke `type` + `-` + `subtype`.
T/A (Parser Logic)	`metadata.product_name`	Diturunkan. Ditetapkan ke `Fortianalyzer` atau diekstrak dari pesan CEF.
T/A (Parser Logic)	`metadata.product_version`	Diekstrak dari pesan CEF.
T/A (Parser Logic)	`metadata.vendor_name`	Diturunkan. Tetapkan ke `Fortinet`.
T/A (Parser Logic)	`network.application_protocol`	Diperoleh dari kolom `service` atau `app` menggunakan file `parse_app_protocol.include`, atau ditetapkan ke `DNS` untuk peristiwa DNS. Juga ditetapkan berdasarkan `ad.app` jika merupakan salah satu dari `HTTPS`, `HTTP`, `DNS`, `DHCP`, atau `SMB`.
T/A (Parser Logic)	`network.dns.questions`	Diturunkan. Array objek pertanyaan, masing-masing dengan kolom `name`, `type`, dan `class`, diisi untuk peristiwa DNS.
T/A (Parser Logic)	`network.http.parsed_user_agent`	Diperoleh dari kolom `http_agent` dengan mengonversinya menjadi objek agen pengguna yang diuraikan.
T/A (Parser Logic)	`network.ip_protocol`	Diperoleh dari kolom `proto` menggunakan file `parse_ip_protocol.include`.
T/A (Parser Logic)	`principal.administrative_domain`	Nilai dari kolom `vd`.
T/A (Parser Logic)	`principal.asset.ip`	Disalin dari `principal.ip`.
T/A (Parser Logic)	`principal.asset.hostname`	Disalin dari `principal.hostname`.
T/A (Parser Logic)	`security_result.about.labels`	Array pasangan nilai kunci, yang diisi dengan `craction` jika ada.
T/A (Parser Logic)	`security_result.action`	Berasal dari `action` atau `utmaction`.
T/A (Parser Logic)	`security_result.description`	Diperoleh dari `action`, `utmaction`, `msg`, `catdesc`, atau `reason`, bergantung pada kolom yang tersedia dan format log.
T/A (Parser Logic)	`security_result.severity`	Berasal dari `crlevel` atau `level`.
T/A (Parser Logic)	`security_result.severity_details`	Diturunkan. Tetapkan ke `level:` + `level`.
T/A (Parser Logic)	`security_result.detection_fields`	Array pasangan nilai kunci, yang diisi dengan `srcintf`, `srcintfrole`, `dstintf`, dan `dstintfrole` jika ada.
T/A (Parser Logic)	`target.asset.ip`	Disalin dari `target.ip`.
T/A (Parser Logic)	`target.asset.hostname`	Disalin dari `target.hostname`.
T/A (Parser Logic)	`target.resource.resource_type`	Diturunkan. Tetapkan ke `ACCESS_POLICY` jika kolom `profile` ada.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.