本頁面由 Cloud Translation API 翻譯而成。

收集 Fortinet FortiAnalyzer 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 收集及擷取 Fortinet FortiAnalyzer 記錄，並傳送至 Google Security Operations。剖析器會將記錄轉換為 UDM 格式。這個外掛程式會處理 CEF 和鍵/值格式的訊息、擷取欄位、執行資料轉換 (例如轉換時間戳記和擴充 IP 通訊協定)，並根據事件類型和子類型，將這些欄位對應至適當的 UDM 欄位。剖析器也包含處理網路連線、DNS 查詢、HTTP 要求和各種安全性事件的特定邏輯，並透過應用程式通訊協定、使用者資訊和安全性結果等詳細資料，擴充 UDM。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您具備 Fortinet FortiAnalyzer 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIANALYZER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Fortinet FortiAnalyzer 上設定 Syslog

登入 FortiAnalyzer。
啟動 CLI 模式。

執行下列指令：

config system syslog
  edit NAME
    set ip IP_ADDRESS
    set port PORT
    set reliable enable or disable
  next
end

更新下列欄位：
- NAME：syslog 伺服器的名稱。
- IP_ADDRESS：輸入 Bindplane 代理程式的 IPv4 位址。
- PORT：輸入 Bindplane 代理程式的通訊埠號碼，例如 514。
- enable or disable：如果將可靠性值設為啟用，系統會以 TCP 傳送；如果將可靠性值設為停用，系統會以 UDP 傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`act`	`security_result.action_details`	記錄採用 CEF 格式時，`act` 欄位的值。
`action`	`security_result.action_details`	記錄不是 CEF 格式時，`action` 欄位的值。用於衍生 `security_result.action` 和 `security_result.description`。
`action`	`security_result.action`	衍生。如果 `action` 是 `accept`、`passthrough`、`pass`、`permit`、`detected` 或 `login`，則為 `ALLOW`。如果值為 `deny`、`dropped`、`blocked` 或 `close`，則為 `BLOCK`。如果值為 `timeout`，則 `FAIL`。否則為 `UNKNOWN_ACTION`。
`action`	`security_result.description`	衍生。設為 `Action:` + 衍生 `security_result.action`。
`ad.app`	`target.application`	記錄採用 CEF 格式時，`ad.app` 欄位的值。如果值為 `HTTPS`、`HTTP`、`DNS`、`DHCP` 或 `SMB`，則會對應至 `network.application_protocol`。
`ad.appact`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.appact` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `appact`。
`ad.appcat`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.appcat` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `appcat`。
`ad.appid`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.appid` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `appid`。
`ad.applist`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.applist` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `applist`。
`ad.apprisk`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.apprisk` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `apprisk`。
`ad.cipher_suite`	`network.tls.cipher`	記錄採用 CEF 格式時，`ad.cipher_suite` 欄位的值。
`ad.countapp`	(未對應)	未對應至 IDM 物件。
`ad.countweb`	(未對應)	未對應至 IDM 物件。
`ad.dstcity`	`target.location.city`	記錄採用 CEF 格式時，`ad.dstcity` 欄位的值。
`ad.dstcountry`	`target.location.country_or_region`	記錄採用 CEF 格式時，`ad.dstcountry` 欄位的值。
`ad.dstintf`	`security_result.detection_fields`	記錄檔採用 CEF 格式時，`ad.dstintf` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `dstintf`。
`ad.dstintfrole`	`security_result.detection_fields`	記錄檔採用 CEF 格式時，`ad.dstintfrole` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `dstintfrole`。
`ad.dstregion`	`target.location.state`	記錄採用 CEF 格式時，`ad.dstregion` 欄位的值。
`ad.duration`	`network.session_duration.seconds`	記錄採用 CEF 格式時，`ad.duration` 欄位的值。
`ad.eventtime`	`metadata.event_timestamp`	記錄採用 CEF 格式時，`ad.eventtime` 欄位的值。
`ad.http_agent`	`network.http.parsed_user_agent`	記錄採用 CEF 格式時，`ad.http_agent` 欄位的值。
`ad.http_method`	`network.http.method`	記錄採用 CEF 格式時，`ad.http_method` 欄位的值。
`ad.http_refer`	`network.http.referral_url`	記錄採用 CEF 格式時，`ad.http_refer` 欄位的值。
`ad.http_request_bytes`	`network.sent_bytes`	記錄採用 CEF 格式時，`ad.http_request_bytes` 欄位的值。
`ad.http_response_bytes`	`network.received_bytes`	記錄採用 CEF 格式時，`ad.http_response_bytes` 欄位的值。
`ad.http_retcode`	(未對應)	未對應至 IDM 物件。
`ad.http_url`	(未對應)	未對應至 IDM 物件。
`ad.lanin`	(未對應)	未對應至 IDM 物件。
`ad.lanout`	(未對應)	未對應至 IDM 物件。
`ad.logid`	`metadata.product_log_id`	記錄採用 CEF 格式時，`ad.logid` 欄位的值。
`ad.mastersrcmac`	`principal.mac`	記錄採用 CEF 格式時，`ad.mastersrcmac` 欄位的值。
`ad.original_src`	(未對應)	未對應至 IDM 物件。
`ad.original_srccountry`	(未對應)	未對應至 IDM 物件。
`ad.poluuid`	(未對應)	未對應至 IDM 物件。
`ad.policyid`	`security_result.rule_id`	記錄採用 CEF 格式時，`ad.policyid` 欄位的值。
`ad.policyname`	`security_result.rule_name`	記錄採用 CEF 格式時，`ad.policyname` 欄位的值。
`ad.policytype`	`security_result.rule_type`	記錄採用 CEF 格式時，`ad.policytype` 欄位的值。
`ad.profile`	`target.resource.name`	記錄採用 CEF 格式時，`ad.profile` 欄位的值。也會將 `target.resource.resource_type` 設為 `ACCESS_POLICY`。
`ad.proto`	`network.ip_protocol`	記錄採用 CEF 格式時，`ad.proto` 欄位的值。使用 `parse_ip_protocol.include` 檔案剖析。
`ad.qclass`	`network.dns.questions.class`	記錄採用 CEF 格式時，`ad.qclass` 欄位的值。使用 `dns_query_class_mapping.include` 檔案對應。
`ad.qname`	`network.dns.questions.name`	記錄採用 CEF 格式時，`ad.qname` 欄位的值。
`ad.qtype`	(未對應)	未對應至 IDM 物件。
`ad.qtypeval`	`network.dns.questions.type`	記錄採用 CEF 格式時，`ad.qtypeval` 欄位的值。
`ad.rcvddelta`	(未對應)	未對應至 IDM 物件。
`ad.rcvdpkt`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.rcvdpkt` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `receivedPackets`。
`ad.sentdelta`	(未對應)	未對應至 IDM 物件。
`ad.sentpkt`	`additional.fields`	記錄檔採用 CEF 格式時，`ad.sentpkt` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `sentPackets`。
`ad.server_pool_name`	(未對應)	未對應至 IDM 物件。
`ad.sourceTranslatedAddress`	`principal.nat_ip`	記錄採用 CEF 格式時，`ad.sourceTranslatedAddress` 欄位的值。
`ad.sourceTranslatedPort`	`principal.nat_port`	記錄採用 CEF 格式時，`ad.sourceTranslatedPort` 欄位的值。
`ad.src`	`principal.ip`	記錄採用 CEF 格式時，`ad.src` 欄位的值。
`ad.srccountry`	`principal.location.country_or_region`	記錄採用 CEF 格式時，`ad.srccountry` 欄位的值。
`ad.srcintf`	`security_result.detection_fields`	記錄檔採用 CEF 格式時，`ad.srcintf` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `srcintf`。
`ad.srcintfrole`	`security_result.detection_fields`	記錄檔採用 CEF 格式時，`ad.srcintfrole` 欄位中的值會以鍵/值組合的形式新增，且鍵為 `srcintfrole`。
`ad.srcmac`	`principal.mac`	記錄採用 CEF 格式時，`ad.srcmac` 欄位的值。
`ad.srcserver`	(未對應)	未對應至 IDM 物件。
`ad.spt`	`principal.port`	記錄採用 CEF 格式時，`ad.spt` 欄位的值。
`ad.status`	`security_result.summary`	記錄採用 CEF 格式時，`ad.status` 欄位的值。
`ad.subtype`	`metadata.product_event_type`	與 `ad.logid` 搭配使用，可在記錄檔為 CEF 格式時建立 `metadata.product_event_type`。也用於衍生 `metadata.event_type`，以及對應 DNS 和 HTTP 事件的特定欄位。
`ad.trandisp`	(未對應)	未對應至 IDM 物件。
`ad.tz`	(未對應)	未對應至 IDM 物件。
`ad.utmaction`	`security_result.action`	記錄採用 CEF 格式時，`ad.utmaction` 欄位的值。用於衍生 `security_result.action` 和 `security_result.description`。
`ad.user_name`	(未對應)	未對應至 IDM 物件。
`ad.vd`	`principal.administrative_domain`	記錄採用 CEF 格式時，`ad.vd` 欄位的值。
`ad.vwlid`	(未對應)	未對應至 IDM 物件。
`ad.wanin`	(未對應)	未對應至 IDM 物件。
`ad.wanout`	(未對應)	未對應至 IDM 物件。
`ad.xid`	(未對應)	未對應至 IDM 物件。
`ad.x509_cert_subject`	(未對應)	未對應至 IDM 物件。
`agent`	(未對應)	未對應至 IDM 物件。
`appid`	`additional.fields`	記錄檔不是 CEF 格式時，`appid` 欄位的值會以鍵/值組合的形式新增，鍵為 `appid`。
`app`	`target.application`	記錄不是 CEF 格式時，`app` 欄位的值。如果值為 `HTTPS`、`HTTP`、`DNS`、`DHCP` 或 `SMB`，則會對應至 `network.application_protocol`。
`appact`	`additional.fields`	記錄檔不是 CEF 格式時，`appact` 欄位的值會以鍵/值組合的形式新增，鍵為 `appact`。
`appcat`	`additional.fields`	記錄檔不是 CEF 格式時，`appcat` 欄位的值會以鍵/值組合的形式新增，鍵為 `appcat`。
`applist`	`additional.fields`	記錄檔不是 CEF 格式時，`applist` 欄位的值會以鍵/值組合的形式新增，鍵為 `applist`。
`apprisk`	`additional.fields`	記錄檔不是 CEF 格式時，`apprisk` 欄位的值會以鍵/值組合的形式新增，鍵為 `apprisk`。
`cat`	`security_result1.rule_id`	記錄不是 CEF 格式時，`cat` 欄位的值。
`catdesc`	`security_result.description`	記錄不是 CEF 格式時，`catdesc` 欄位的值。只有在 `catdesc` 不為空白時才使用。
`centralnatid`	(未對應)	未對應至 IDM 物件。
`cipher_suite`	`network.tls.cipher`	記錄不是 CEF 格式時，`cipher_suite` 欄位的值。
`countssl`	(未對應)	未對應至 IDM 物件。
`crlevel`	`security_result.severity`	記錄不是 CEF 格式時，`crlevel` 欄位的值。用於衍生 `security_result.severity`。
`craction`	`security_result.about.labels`	記錄檔不是 CEF 格式時，`craction` 欄位的值會以鍵/值組合的形式新增，鍵為 `craction`。
`create_time`	(未對應)	未對應至 IDM 物件。
`data`	(未對應)	原始記錄資料。不會直接對應至 UDM。
`date`	(未對應)	未對應至 IDM 物件。
`devname`	`principal.hostname`、`principal.asset.hostname`	記錄不是 CEF 格式時，`devname` 欄位的值。
`devid`	(未對應)	未對應至 IDM 物件。
`devtype`	(未對應)	未對應至 IDM 物件。
`direction`	`network.direction`	記錄不是 CEF 格式時，`direction` 欄位的值。如果為 `incoming` 或 `inbound`，則為 `INBOUND`。如果為 `outgoing` 或 `outbound`，則為 `OUTBOUND`。
`dpt`	`target.port`	記錄採用 CEF 格式時，`dpt` 欄位的值。
`dstip`	`target.ip`、`target.asset.ip`	記錄不是 CEF 格式時，`dstip` 欄位的值。
`dstintf`	`security_result.detection_fields`	記錄檔不是 CEF 格式時，`dstintf` 欄位的值會以鍵/值組合的形式新增，鍵為 `dstintf`。
`dstintfrole`	`security_result.detection_fields`	記錄檔不是 CEF 格式時，`dstintfrole` 欄位的值會以鍵/值組合的形式新增，鍵為 `dstintfrole`。
`dstport`	`target.port`	記錄不是 CEF 格式時，`dstport` 欄位的值。
`dstregion`	`target.location.state`	記錄不是 CEF 格式時，`dstregion` 欄位的值。
`dstuuid`	`target.user.product_object_id`	記錄不是 CEF 格式時，`dstuuid` 欄位的值。
`duration`	`network.session_duration.seconds`	記錄不是 CEF 格式時，`duration` 欄位的值。
`dstcity`	`target.location.city`	記錄不是 CEF 格式時，`dstcity` 欄位的值。
`dstcountry`	`target.location.country_or_region`	記錄不是 CEF 格式時，`dstcountry` 欄位的值。
`dstmac`	`target.mac`	記錄不是 CEF 格式時，`dstmac` 欄位的值。
`eventtime`	`metadata.event_timestamp`	記錄不是 CEF 格式時，`eventtime` 欄位的值。值會從微秒減少至秒。
`eventtype`	`security_result2.rule_type`	記錄不是 CEF 格式時，`eventtype` 欄位的值。
`externalID`	(未對應)	未對應至 IDM 物件。
`group`	`principal.user.group_identifiers`	記錄不是 CEF 格式時，`group` 欄位的值。
`hostname`	`target.hostname`、`target.asset.hostname`	記錄不是 CEF 格式時，`hostname` 欄位的值。
`http_agent`	`network.http.parsed_user_agent`	記錄不是 CEF 格式時，`http_agent` 欄位的值。轉換為已剖析的使用者代理程式物件。
`http_method`	`network.http.method`	記錄不是 CEF 格式時，`http_method` 欄位的值。
`http_refer`	`network.http.referral_url`	記錄不是 CEF 格式時，`http_refer` 欄位的值。
`http_request_bytes`	`network.sent_bytes`	記錄不是 CEF 格式時，`http_request_bytes` 欄位的值。
`http_response_bytes`	`network.received_bytes`	記錄不是 CEF 格式時，`http_response_bytes` 欄位的值。
`httpmethod`	`network.http.method`	記錄不是 CEF 格式時，`httpmethod` 欄位的值。
`in`	`network.received_bytes`	記錄採用 CEF 格式時，`in` 欄位的值。
`incidentserialno`	(未對應)	未對應至 IDM 物件。
`lanin`	(未對應)	未對應至 IDM 物件。
`lanout`	(未對應)	未對應至 IDM 物件。
`level`	`security_result.severity`、`security_result.severity_details`	記錄不是 CEF 格式時，`level` 欄位的值。用於衍生 `security_result.severity`。如果為 `error` 或 `warning`，則為 `HIGH`。如果值為 `notice`，則 `MEDIUM`。如果為 `information` 或 `info`，則為 `LOW`。也會將 `security_result.severity_details` 設為 `level:` + `level`。
`locip`	`principal.ip`、`principal.asset.ip`	記錄不是 CEF 格式時，`locip` 欄位的值。
`logdesc`	`metadata.description`	記錄不是 CEF 格式時，`logdesc` 欄位的值。
`logid`	`metadata.product_log_id`	記錄不是 CEF 格式時，`logid` 欄位的值。
`logver`	(未對應)	未對應至 IDM 物件。
`mastersrcmac`	`principal.mac`	記錄不是 CEF 格式時，`mastersrcmac` 欄位的值。
`method`	(未對應)	未對應至 IDM 物件。
`msg`	`metadata.description`	記錄不是 CEF 格式時，`msg` 欄位的值。如果 `catdesc` 為空白，也會用於 `security_result.description`。
`out`	`network.sent_bytes`	記錄採用 CEF 格式時，`out` 欄位的值。
`outintf`	(未對應)	未對應至 IDM 物件。
`policyid`	`security_result.rule_id`	記錄不是 CEF 格式時，`policyid` 欄位的值。
`policyname`	`security_result.rule_name`	記錄不是 CEF 格式時，`policyname` 欄位的值。
`policytype`	`security_result.rule_type`	記錄不是 CEF 格式時，`policytype` 欄位的值。
`poluuid`	(未對應)	未對應至 IDM 物件。
`profile`	`target.resource.name`	記錄不是 CEF 格式時，`profile` 欄位的值。也會將 `target.resource.resource_type` 設為 `ACCESS_POLICY`。
`proto`	`network.ip_protocol`	記錄不是 CEF 格式時，`proto` 欄位的值。使用 `parse_ip_protocol.include` 檔案剖析。
`qclass`	`network.dns.questions.class`	記錄不是 CEF 格式時，`qclass` 欄位的值。使用 `dns_query_class_mapping.include` 檔案對應。
`qname`	`network.dns.questions.name`	記錄不是 CEF 格式時，`qname` 欄位的值。
`reason`	`security_result.description`	記錄不是 CEF 格式時，`reason` 欄位的值。只有在 `reason` 不是 `N/A` 且不為空白時，才會使用此屬性。
`rcvdbyte`	`network.received_bytes`	記錄不是 CEF 格式時，`rcvdbyte` 欄位的值。
`rcvdpkt`	`additional.fields`	記錄檔不是 CEF 格式時，`rcvdpkt` 欄位的值會以鍵/值組合的形式新增，鍵為 `receivedPackets`。
`remip`	`target.ip`、`target.asset.ip`	記錄不是 CEF 格式時，`remip` 欄位的值。
`remport`	(未對應)	未對應至 IDM 物件。
`reqtype`	(未對應)	未對應至 IDM 物件。
`sentbyte`	`network.sent_bytes`	記錄不是 CEF 格式時，`sentbyte` 欄位的值。
`sentpkt`	`additional.fields`	記錄檔不是 CEF 格式時，`sentpkt` 欄位的值會以鍵/值組合的形式新增，鍵為 `sentPackets`。
`service`	`network.application_protocol`、`target.application`	記錄不是 CEF 格式時，`service` 欄位的值。使用 `parse_app_protocol.include` 檔案剖析。如果剖析器的輸出內容不為空白，則會對應至 `network.application_protocol`。否則，原始值會對應至 `target.application`。
`sessionid`	`network.session_id`	記錄不是 CEF 格式時，`sessionid` 欄位的值。
`sn`	(未對應)	未對應至 IDM 物件。
`sourceTranslatedAddress`	`principal.nat_ip`	記錄採用 CEF 格式時，`sourceTranslatedAddress` 欄位的值。
`sourceTranslatedPort`	`principal.nat_port`	記錄採用 CEF 格式時，`sourceTranslatedPort` 欄位的值。
`spt`	`principal.port`	記錄採用 CEF 格式時，`spt` 欄位的值。
`src`	`principal.ip`	記錄採用 CEF 格式時，`src` 欄位的值。
`srcip`	`principal.ip`、`principal.asset.ip`	記錄不是 CEF 格式時，`srcip` 欄位的值。
`srcintf`	`security_result.detection_fields`	記錄檔不是 CEF 格式時，`srcintf` 欄位的值會以鍵/值組合的形式新增，鍵為 `srcintf`。
`srcintfrole`	`security_result.detection_fields`	記錄檔不是 CEF 格式時，`srcintfrole` 欄位的值會以鍵/值組合的形式新增，鍵為 `srcintfrole`。
`srcmac`	`principal.mac`	記錄不是 CEF 格式時，`srcmac` 欄位的值。連字號會替換為半形冒號。
`srcport`	`principal.port`	記錄不是 CEF 格式時，`srcport` 欄位的值。
`srccountry`	`principal.location.country_or_region`	記錄不是 CEF 格式時，`srccountry` 欄位的值。只有在不是 `Reserved` 且不為空白時，才會對應。
`srcuuid`	`principal.user.product_object_id`	記錄不是 CEF 格式時，`srcuuid` 欄位的值。
`srcserver`	(未對應)	未對應至 IDM 物件。
`start`	(未對應)	未對應至 IDM 物件。
`status`	`security_result.summary`	記錄不是 CEF 格式時，`status` 欄位的值。
`subtype`	`metadata.product_event_type`	與 `type` 搭配使用，可在記錄不是 CEF 格式時建立 `metadata.product_event_type`。也用於衍生 `metadata.event_type`，以及對應 DNS 和 HTTP 事件的特定欄位。
`time`	(未對應)	未對應至 IDM 物件。
`timestamp`	`metadata.event_timestamp`	`timestamp` 欄位的值。
`trandisp`	(未對應)	未對應至 IDM 物件。
`transip`	(未對應)	未對應至 IDM 物件。
`transport`	(未對應)	未對應至 IDM 物件。
`type`	`metadata.product_event_type`	與 `subtype` 搭配使用，可在記錄不是 CEF 格式時建立 `metadata.product_event_type`。也用於衍生 `metadata.event_type`。
`tz`	(未對應)	未對應至 IDM 物件。
`ui`	(未對應)	未對應至 IDM 物件。
`url`	`target.url`	記錄不是 CEF 格式時，`url` 欄位的值。
`user`	`principal.user.userid`	記錄不是 CEF 格式時，`user` 欄位的值。只有在不是 `N/A` 且不為空白時，才會對應。
`utmaction`	`security_result.action`、`security_result2.action_details`	記錄不是 CEF 格式時，`utmaction` 欄位的值。用於衍生 `security_result.action` 和 `security_result.description`。
`utmaction`	`security_result.action`	衍生。如果 `utmaction` 是 `accept`、`allow`、`passthrough`、`pass`、`permit` 或 `detected`，則為 `ALLOW`。如果值為 `deny`、`dropped`、`blocked` 或 `block`，則為 `BLOCK`。否則為 `UNKNOWN_ACTION`。
`utmaction`	`security_result.description`	衍生。如果 `action1` 為空白，請設為 `UTMAction:` + 衍生 `security_result.action`。
`utmevent`	(未對應)	未對應至 IDM 物件。
`vd`	`principal.administrative_domain`	記錄不是 CEF 格式時，`vd` 欄位的值。
`vpntunnel`	(未對應)	未對應至 IDM 物件。
`wanin`	(未對應)	未對應至 IDM 物件。
`wanout`	(未對應)	未對應至 IDM 物件。
不適用 (剖析器邏輯)	`about.asset.asset_id`	衍生。如果記錄採用 CEF 格式，請設為 `Fortinet.` + `product_name` + `:` + `deviceExternalId`。
不適用 (剖析器邏輯)	`about.hostname`	衍生。如果記錄採用 CEF 格式，請設為 `auth0`。
不適用 (剖析器邏輯)	`extensions.auth`	衍生。系統會在 `metadata.event_type` 為 `USER_LOGIN` 時建立空白物件。
不適用 (剖析器邏輯)	`extensions.auth.type`	衍生。當 `metadata.event_type` 為 `USER_LOGIN` 時，請設為 `AUTHTYPE_UNSPECIFIED`。
不適用 (剖析器邏輯)	`metadata.event_type`	根據剖析器中的各種記錄檔欄位和邏輯衍生而來。可以是 `NETWORK_CONNECTION`、`STATUS_UPDATE`、`GENERIC_EVENT`、`NETWORK_DNS`、`NETWORK_HTTP`、`USER_LOGIN`、`USER_LOGOUT` 或 `NETWORK_UNCATEGORIZED`。
不適用 (剖析器邏輯)	`metadata.log_type`	衍生。設為 `FORTINET_FORTIANALYZER`。
不適用 (剖析器邏輯)	`metadata.product_event_type`	衍生。設為 `type` + `-` + `subtype`。
不適用 (剖析器邏輯)	`metadata.product_name`	衍生。設為 `Fortianalyzer` 或從 CEF 訊息中擷取。
不適用 (剖析器邏輯)	`metadata.product_version`	從 CEF 訊息擷取。
不適用 (剖析器邏輯)	`metadata.vendor_name`	衍生。設為 `Fortinet`。
不適用 (剖析器邏輯)	`network.application_protocol`	使用 `parse_app_protocol.include` 檔案從 `service` 或 `app` 欄位衍生，或針對 DNS 事件設為 `DNS`。如果 `ad.app` 是 `HTTPS`、`HTTP`、`DNS`、`DHCP` 或 `SMB`，也會根據 `ad.app` 進行設定。
不適用 (剖析器邏輯)	`network.dns.questions`	衍生。問題物件的陣列，每個物件都有 `name`、`type` 和 `class` 欄位，並填入 DNS 事件。
不適用 (剖析器邏輯)	`network.http.parsed_user_agent`	從 `http_agent` 欄位衍生，並轉換為已剖析的使用者代理程式物件。
不適用 (剖析器邏輯)	`network.ip_protocol`	使用 `parse_ip_protocol.include` 檔案從 `proto` 欄位衍生而來。
不適用 (剖析器邏輯)	`principal.administrative_domain`	`vd` 欄位的值。
不適用 (剖析器邏輯)	`principal.asset.ip`	從「`principal.ip`」複製的項目。
不適用 (剖析器邏輯)	`principal.asset.hostname`	從「`principal.hostname`」複製的項目。
不適用 (剖析器邏輯)	`security_result.about.labels`	鍵/值組合的陣列，如果存在，則會填入 `craction`。
不適用 (剖析器邏輯)	`security_result.action`	衍生自 `action` 或 `utmaction`。
不適用 (剖析器邏輯)	`security_result.description`	視可用欄位和記錄格式而定，衍生自 `action`、`utmaction`、`msg`、`catdesc` 或 `reason`。
不適用 (剖析器邏輯)	`security_result.severity`	衍生自 `crlevel` 或 `level`。
不適用 (剖析器邏輯)	`security_result.severity_details`	衍生。設為 `level:` + `level`。
不適用 (剖析器邏輯)	`security_result.detection_fields`	鍵/值組合的陣列，如果存在 `srcintf`、`srcintfrole`、`dstintf` 和 `dstintfrole`，則會填入這些值。
不適用 (剖析器邏輯)	`target.asset.ip`	從「`target.ip`」複製的項目。
不適用 (剖析器邏輯)	`target.asset.hostname`	從「`target.hostname`」複製的項目。
不適用 (剖析器邏輯)	`target.resource.resource_type`	衍生。如果存在 `profile` 欄位，請設為 `ACCESS_POLICY`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。