此页面由 Cloud Translation API 翻译。

收集 Fortinet 防火墙日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 收集 Fortinet 日志并将其注入到 Google 安全运营中心。解析器会从日志中提取字段，同时处理 JSON 和 SYSLOG（含键值对）格式。它会将提取的字段标准化为统一数据模型 (UDM)，包括网络连接、用户活动、DNS 事件和安全发现结果，同时还会处理各种日志格式和边缘情况。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了带有 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您拥有对 Fortinet 防火墙设备的特权访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次选择 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，该目录位于安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FIREWALL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

根据基础架构中的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
在获取 Google SecOps 提取身份验证文件部分中，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

使用 CLI 在 FortiGate 上配置 Syslog

按照相同的顺序输入以下命令（将变量替换为与您的环境相符的值）。

sh full-configuration | grep -f syslogd
config log syslogd setting
    set status enable
    set server IP_ADDRESS
    set mode udp
    set port PORT
    set facility LOCAL
    set reliable enable or disable
    set source-ip FIEWALL_IP
end

更新以下值：
- IP_ADDRESS：输入 Bindplane 代理的 IPv4 地址。
- PORT：输入 Bindplane 代理的端口号；例如 514。
- LOCAL：将设施级别设置为 local6（您也可以选择其他级别，例如 local0、local1、local2、local3、local4、local5 或 local7，以便记录信息日志）。
- enable or disable：输入 disable 以以 UDP 方式发送数据（如果您将可靠性值设为 enable，则系统会以 TCP 方式发送数据）。
- FIEWALL_IP：输入防火墙的 IPv4 地址。

使用 GUI 在 FortiGate 上配置 Syslog

登录 Fortinet Fortigate Web 界面。
依次前往日志和报告 > 日志设置。
修改以下配置：
- 将日志发送到 Syslog：选择启用。
- IP 地址 / FQDN：输入 Bindplane 代理的 IPv4 地址。
- 事件日志记录：选择全部。
- 本地流量日志：选择全部。
依次前往政策和对象 > 防火墙政策
- 将每项防火墙政策的日志级别设为“全部”（请勿设为“停用和 UTM”）。
- 确保隐式拒绝政策也应设为日志级别 All。
打开 CLI 并输入以下命令。
1. 获取防火墙应用 IP：
```
Show full-configuration | grep -f syslogd
```
2. 设置来源 IP 地址和设施：
  - LOCAL：将设施级别设置为 local6（您也可以选择其他级别，例如 local0、local1、local2、local3、local4、local5 或 local7，以便记录信息日志）。
  - FIEWALL_IP：输入防火墙的 IPv4 地址。
```
config log syslogd setting
set source-ip FIEWALL_IP
set facility LOCAL
end
```
3. 为每台 Fortinet 设备启用 resolve-ip：
```
config log setting
set resolve-ip enable
```
针对需要加入 Google SecOps 的每台设备重复上述流程。

可选：Fortigate Syslog 的其他配置选项

对于 FortiGate v5.X，如需启用详细日志，请运行以下命令：

config antivirus profile
    edit default
        set extended-utm-log enable
    end
config application
    edit default
        set extended-utm-log enable
    end
config webfilter
    edit default
        set extended-utm-log enable
    end
config spamfilter
    edit default
        set extended-utm-log enable
    end
config dlp
    edit default
        set extended-utm-log enable
    end
config ips
    edit default
        set extended-utm-log enable
    end

UDM 映射表

日志字段	UDM 映射	逻辑
`action`	`security_result.action_details`	该值直接取自原始日志中的 `action` 字段。
`act`	`security_result.action_details`	如果 `action` 字段为空，则值取自原始日志中的 `act` 字段。
`agent`	`network.http.user_agent`，`network.http.parsed_user_agent`	该值取自 `agent` 字段。`parsed_user_agent` 字段是 `user_agent` 字段的解析版本。
`appid`	`security_result1.rule_id`	该值取自 `appid` 字段。
`app`	`target.application`、`network.application_protocol`、`additional.fields`	如果 `service` 字段为空，则系统会从 `app` 字段中获取值。如果 `service` 是 HTTPS、HTTP、DNS、DHCP 或 SMB 之一，则该值将用于填充 `network.application_protocol`。否则，它将用于 `target.application`。系统会向 `additional.fields` 添加一个键为 `app` 且字符串值为 `app` 字段的其他字段。
`appact`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `appact` 且字符串值为 `appact` 字段的其他字段。
`appcat`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `appcat` 且字符串值为 `appcat` 字段的其他字段。
`applist`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `applist` 且字符串值为 `applist` 字段的其他字段。
`apprisk`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `apprisk` 且字符串值为 `apprisk` 字段的其他字段。
`attack`	`security_result.category_details`、`security_result.threat_name`、`security_result.summary`、`security_result.detection_fields`	该值会添加到 `security_result.category_details`。对于 IPS/异常事件，它也适用于 `security_result.summary` 和 `security_result.threat_name`。系统会向 `security_result.detection_fields` 添加一个键为 `attack` 且值为 `attack` 字段的检测字段。
`attackid`	`security_result.threat_id`、`security_result1.rule_id`、`security_result.detection_fields`	对于 IPS 事件，此值用于 `security_result.threat_id`。对于其他事件，它用于 `security_result1.rule_id`。向 `security_result.detection_fields` 添加了一个键为 `attackId` 且值为 `attackid` 字段的检测字段。
`cat`	`security_result1.rule_id`	对于 webfilter 事件，该值用于 `security_result1.rule_id`。
`catdesc`	`security_result.description`、`security_result1.rule_name`、`security_result.category_details`	如果存在，则会附加到 `msg` 字段以创建 `security_result.description`。它也用于 `security_result1.rule_name`。该值会添加到 `security_result.category_details`。
`changes`	`security_result.summary`	`changes` 字段会解析为键值对。解析后的 `changes` 中的 `mode` 值用于 `security_result.summary`。
`connection_type`	`metadata.product_event_type`	该值会附加到 `metadata.product_event_type`（如果存在）。
`craction`	`security_result.about.labels`	系统会向 `security_result.about.labels` 添加一个键为 `craction` 且值为 `craction` 字段的标签。
`crlevel`	`security_result.severity`、`event.idm.is_alert`、`event.idm.is_significant`	如果 `crlevel` 为 CRITICAL 或 `level` 为 alert，则 `is_alert` 和 `is_significant` 会设为 TRUE。该值会根据以下映射映射到 `security_result.severity`：`HIGH` 为 HIGH、`MEDIUM` 为 MEDIUM、`LOW` 为 LOW、`CRITICAL` 为 CRITICAL。
`crscore`	`security_result.severity_details`	对于 IPS 事件，此值用于 `security_result.severity_details`。
`cs6`	`principal.user.group_identifiers`	该值会添加到 `principal.user.group_identifiers`。
`date`，`time`	`timestamp`	系统会合并并解析 `date` 和 `time` 字段，以创建 `timestamp`。
`devid`	`security_result.detection_fields`	系统会向 `security_result.detection_fields` 添加一个键为 `devid` 且值为 `devid` 字段的检测字段。
`devname`	`intermediary.hostname`、`target.hostname`、`target.asset.hostname`、`principal.hostname`、`principal.asset.hostname`	如果存在 `dvchost`，则将 `dvchost` 用于 `intermediary.hostname`。否则，系统会使用 `devname`。对于 `type` 为 `event` 的 VPN 事件，它将用于 `target.hostname`。对于用户创建事件，此参数用于 `principal.hostname`。
`deviceSeverity`	`level`	该值用于填充 `level` 字段。
`device_product`	`metadata.product_name`	该值用于 `metadata.product_name`。如果不存在，则使用 `Fortigate` 作为默认值。
`device_vendor`	`metadata.vendor_name`	该值用于 `metadata.vendor_name`。如果不存在，则使用 `Fortinet` 作为默认值。
`device_version`	`metadata.product_version`	该值用于 `metadata.product_version`。
`dhcp_msg`	`network.dhcp.type`、`metadata.event_type`、`network.application_protocol`	如果值为 `Ack`，则 `network.dhcp.type` 设置为 `ACK`、`metadata.event_type` 设置为 `NETWORK_DHCP`，`network.application_protocol` 设置为 `DHCP`。
`dir`	`direction`	如果 `direction` 为空，则系统会从 `dir` 字段中获取值。
`direction`	`network.direction`	该值会根据以下映射映射到 `network.direction`：INBOUND（入站）适用于 `incoming`、`inbound` 和 `response`；OUTBOUND（出站）适用于 `outgoing`、`outbound` 和 `request`。
`dst`	`target.ip`，`target.asset.ip`	该值会解析为 IP 地址，并用于 `target.ip`。
`dstauthserver`	`target.hostname`，`target.asset.hostname`	该值用于 `target.hostname`。
`dstcountry`	`target.location.country_or_region`	如果该值不是 `Reserved` 或空，则会用于 `target.location.country_or_region`。
`dstip`	`target.ip`，`target.asset.ip`	该值会解析为 IP 地址，并用于 `target.ip`。
`dstinetsvc`	`security_result.detection_fields`	系统会向 `security_result.detection_fields` 添加一个键为 `dstinetsvc` 且值为 `dstinetsvc` 字段的检测字段。
`dstintf`	`security_result.detection_fields`	系统会向 `security_result.detection_fields` 添加一个键为 `dstintf` 且值为 `dstintf` 字段的检测字段。
`dstintfrole`	`security_result.detection_fields`	系统会向 `security_result.detection_fields` 添加一个键为 `dstintfrole` 且值为 `dstintfrole` 字段的检测字段。
`dstmac`	`target.mac`	该值会解析为 MAC 地址，并用于 `target.mac`。
`dstosname`	`target.platform`	如果值为 `WINDOWS`，则 `target.platform` 会设置为 `WINDOWS`。
`dstport`	`target.port`	该值会转换为整数，并用于 `target.port`。
`dstswversion`	`target.platform_version`	该值用于 `target.platform_version`。
`dstuuid`	`target.resource.product_object_id`	该值用于 `target.resource.product_object_id`。
`dstuser`	`target.user.userid`	该值用于 `target.user.userid`。
`dtype`	`security_result.category_details`	该值会添加到 `security_result.category_details`。
`duration`	`network.session_duration.seconds`	如果该值不为空或 `0`，则会转换为整数并用于 `network.session_duration.seconds`。
`duser`	`principal.user.userid`、`target.user.userid`、`target.user.user_display_name`	对于端点/系统事件，它用于 `principal.user.userid`。对于用户登录事件，此参数用于 `target.user.userid`。对于 CEF 格式的日志，它用于 `target.user.user_display_name`。
`dvchost`	`devname`	该值用于替换 `devname` 字段。
`d_uid`	`target.user.userid`	从 `request` 字段中提取的值用于 `target.user.userid`。
`error`	`security_result.severity_details`	如果 `level` 为 `error`，且存在 `error`，则该值将用于 `security_result.severity_details`。
`eventtime`	`timestamp`，`metadata.event_timestamp`	系统会解析该值以创建 `timestamp` 和 `metadata.event_timestamp`。
`eventtype`	`security_result1.rule_type`，`security_result.detection_fields`	该值用于 `security_result1.rule_type`。对于 IPS 事件，它也用于 `security_result.detection_fields`。
`filename`	`target.file.full_path`	该值用于 `target.file.full_path`。
`group`	`principal.user.group_identifiers`	如果值不是 `N/A` 或空值，则会添加到 `principal.user.group_identifiers`。
`hostname`	`target.hostname`、`target.asset.hostname`、`principal.hostname`、`principal.asset.hostname`	该值用于 `target.hostname`。对于 DHCP Ack 事件，它用于 `principal.hostname`。
`httpmethod`	`network.http.method`	该值用于 `network.http.method`。
`in`	`network.received_bytes`	该值会转换为无符号整数，并用于 `network.received_bytes`。
`incidentserialno`	`security_result.about.labels`	系统会向 `security_result.about.labels` 添加一个键为 `incidentserialno` 且值为 `incidentserialno` 字段的标签。
`ip`	`principal.ip`、`principal.asset.ip`、`network.dhcp.yiaddr`	对于端点/系统事件，系统会将该值添加到 `principal.ip`。对于 DHCP Ack 事件，它用于 `network.dhcp.yiaddr`。
`ipaddr`	`intermediary.ip`	系统会将该值解析为以英文逗号分隔的 IP 地址列表，并将其添加到 `intermediary.ip`。
`level`	`security_result.severity`、`security_result.severity_details`、`event.idm.is_alert`、`event.idm.is_significant`	如果 `crlevel` 为 CRITICAL 或 `level` 为 alert，则 `is_alert` 和 `is_significant` 会设为 TRUE。该值会根据以下映射映射到 `security_result.severity`：`warning` 为“高”、`notice` 为“中”、`information` 和 `info` 为“低”、`error` 为“错误”。`security_result.severity_details` 设置为 `level: <value>`。
`locip`	`principal.ip`，`principal.asset.ip`	对于 VPN 事件，该值会添加到 `principal.ip`。
`locport`	`dstport`	该值用于替换 `dstport` 字段。
`logdesc`	`metadata.description`	该值用于 `metadata.description`。
`logid`	`metadata.product_log_id`，`additional.fields`	该值用于 `metadata.product_log_id`。系统会向 `additional.fields` 添加一个键为 `logid` 且字符串值为 `logid` 字段的其他字段。
`log_id`	`metadata.product_log_id`	该值用于 `metadata.product_log_id`。
`metadata.event_type`	`metadata.event_type`	此值是根据事件类型和其他字段设置的。默认为 GENERIC_EVENT。可以设置为 NETWORK_CONNECTION、USER_UNCATEGORIZED、NETWORK_HTTP、USER_LOGIN、USER_LOGOUT、NETWORK_DNS、NETWORK_DHCP、STATUS_UNCATEGORIZED、NETWORK_UNCATEGORIZED、USER_CREATION、USER_DELETION。
`metadata.log_type`	`metadata.log_type`	该值设置为 `FORTINET_FIREWALL`。
`metadata.product_event_type`	`metadata.product_event_type`	该值设置为 `<type> - <subtype>`。如果存在 `connection_type`，则会附加到该值。对于采用 CEF 格式的日志，此值设为 `[<device_event_class_id>] - <event_name> <severity>`。
`metadata.product_name`	`metadata.product_name`	此值默认设置为 `Fortigate`。如果存在 `device_product`，则系统会改用该值。
`metadata.product_version`	`metadata.product_version`	该值取自 `device_version` 字段（如果存在）。
`metadata.vendor_name`	`metadata.vendor_name`	此值默认设置为 `Fortinet`。如果存在 `device_vendor`，则系统会改用该值。
`mode`	`security_result.summary`	从 `changes` 字段中提取的值用于 `security_result.summary`。
`msg`	`metadata.description`、`security_result.summary`、`security_result.description`、`security_result1.rule_name`	如果 `logdesc` 不存在，则该值将用于 `metadata.description`。对于系统事件，它用于 `security_result.summary`。对于 webfilter 事件，该字符串会附加到 `security_result.description` 前面。对于 `msg` 为 `File is infected.` 的病毒事件，它会与 `virus` 结合使用来填充 `security_result.summary`。对于 app-ctrl 事件，它用于 `security_result1.rule_name`。
`name`	`principal.hostname`，`principal.asset.hostname`	该值用于 `principal.hostname`。
`nas`	`principal.nat_ip`	该值会解析为 IP 地址，并用于 `principal.nat_ip`。
`operation`	`security_result.action_details`，`security_result.action`	该值用于 `security_result.action_details`。它还会根据以下映射映射到 `security_result.action`：`accept`、`passthrough`、`pass`、`permit`、`detected`、`close` 和 `edit` 为“允许”；`deny`、`dropped` 和 `blocked` 为“屏蔽”；`timeout` 为“失败”；其他值为“UNKNOWN_ACTION”。
`os`	`principal.platform`，`principal.platform_version`	如果该值包含 `Windows`，则 `principal.platform` 会设为 `WINDOWS`，系统会提取版本并将其用于 `principal.platform_version`。
`osname`	`principal.platform`	如果值为 `WINDOWS`，则 `principal.platform` 会设置为 `WINDOWS`。
`osversion`	`principal.platform_version`	该值用于 `principal.platform_version`。
`out`	`network.sent_bytes`	该值会转换为无符号整数，并用于 `network.sent_bytes`。
`path`	`security_result.description`	该值用于 `security_result.description`。
`performed_on`	`security_result.about.application`	该值用于 `security_result.about.application`。
`policyid`	`security_result.rule_id`	该值用于 `security_result.rule_id`。
`policyname`	`security_result.rule_name`	该值用于 `security_result.rule_name`。
`policytype`	`security_result.rule_type`	该值用于 `security_result.rule_type`。
`poluuid`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `poluuid` 且字符串值为 `poluuid` 字段的其他字段。
`pri`	`security_result.severity_details`	该值用于 `security_result.severity_details`。
`profile`	`target.resource.name`，`target.resource.resource_type`	该值用于 `target.resource.name`，并且 `target.resource.resource_type` 设置为 `ACCESS_POLICY`。
`proto`	`network.ip_protocol`	该值会根据以下映射映射到 `network.ip_protocol`：`17` 为 UDP、`6` 为 TCP、`41` 为 IP6IN4、`1` 为 ICMP，以及当 `service` 为 `PING` 或包含 `ICMP` 时。
`protocol`	`network.application_protocol`	如果值为 `udp`，则 `network.ip_protocol` 会设置为 `UDP`。如果值为 `tcp`，则 `network.ip_protocol` 会设置为 `TCP`。否则，如果不为空，则会被解析并用于 `network.application_protocol`。
`qclass`	`network.dns.questions.class`	如果值为 `IN`，则 `network.dns.questions.class` 会设置为 `1`。
`qname`	`network.dns.questions.name`	该值用于 `network.dns.questions.name`。
`qtypeval`	`network.dns.questions.type`	该值会转换为无符号整数并重命名为 `network.dns.questions.type`。
`rcvdbyte`	`network.received_bytes`	该值会转换为无符号整数，并用于 `network.received_bytes`。
`rcvdpkt`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `receivedPackets` 且字符串值为 `rcvdpkt` 字段的额外字段。
`reason`	`security_result.description`	如果该值不是 `N/A` 或空，则会用于 `security_result.description`。
`referralurl`	`network.http.referral_url`	该值用于 `network.http.referral_url`。
`ref`	`metadata.url_back_to_product`	该值用于 `metadata.url_back_to_product`。
`remip`	`principal.ip`，`principal.asset.ip`	对于 VPN 事件，该值会添加到 `principal.ip`。
`remport`	`srcport`	该值用于替换 `srcport` 字段。
`request`	`target.user.userid`	如果该值包含 `duid`，系统会提取 duid 并将其用于 `target.user.userid`。
`sentbyte`	`network.sent_bytes`	该值会转换为无符号整数，并用于 `network.sent_bytes`。
`sentpkt`	`additional.fields`	系统会向 `additional.fields` 添加一个键为 `sentPackets` 且字符串值为 `sentpkt` 字段的额外字段。
`server`	`target.hostname`，`target.asset.hostname`	对于用户事件，该值用于 `target.hostname`。
`service`	`network.application_protocol`，`target.application`	如果值为 HTTPS、HTTP、DNS、DHCP 或 SMB 之一，则用于 `network.application_protocol`。否则，它将用于 `target.application`。
`sessionid`	`network.session_id`	该值用于 `network.session_id`。
`session_id`	`network.session_id`	该值用于 `network.session_id`。
`severity`	`security_result.severity`，`security_result.detection_fields`	对于采用 CEF 格式的日志，该值用于 `security_result.severity`。系统会向 `security_result.detection_fields` 添加一个键为 `severity` 且值为 `severity` 字段的检测字段。

变化

2025-02-24

增强功能：

将 dstname 映射到 target.hostname。
将 saddr 映射到 principal.ip。

2025-02-18

增强功能：

当 action 为 clear_session 时，将 security_result.action 映射到 BLOCK。

2025-01-31

增强功能：

将 remip 的映射从 principal.ip 更改为了 target.ip。

2025-01-24

增强功能：

如果 srcip 与界面 (UI) 或 SSH 流量相关联，则将 srcip 映射到 principal.ip。

2025-01-20

增强功能：

将 ui、cfgpath、cfgobj、cfgattr 和 msg 映射到 additional.fields。

2025-01-08

增强功能：

当 type=event 且 subtype=vpn 时，将 metadata.event_type 映射到 STATUS_UPDATE。
当 type=event subtype=vpn 且 action= tunnel-stats 时，将 metadata.event_type 映射到 NETWORK_UNCATEGORIZED。

2025-01-01

增强功能：

将 target.user.userid 中的 devid 替换为 principal.asset.hardware.serial_number。

2024-12-20

增强功能：

重新排列了 GROK 模式。
添加了 GROK 模式来解析新类型的日志。

2024-12-04

增强功能：

将 ipaddr 映射到 network.dns.answers。
将 fortihost 映射到 intermidiary.ip。

2024-11-28

增强功能：

当 action 为 Add 时，将 metadata.event_type 映射到 USER_CREATION。
当 action 为 Delete 时，将 metadata.event_type 映射到 USER_DELETION。
当 action 为 Edit 时，将 metadata.event_type 映射到 DEVICE_CONFIG_UPDATE。
将 devid 的映射从 security_result.detection_fields 更改为了 target.user.userid。

2024-11-28

增强功能：

当 action 为 Add 时，将 metadata.event_type 映射到 USER_CREATION。
当 action 为 Delete 时，将 metadata.event_type 映射到 USER_DELETION。
当 action 为 Edit 时，将 metadata.event_type 映射到 DEVICE_CONFIG_UPDATE。
将 devid 的映射从 security_result.detection_fields 更改为了 target.user.userid。

2024-11-27

增强功能：

如果存在 utmaction，则将 action 映射到 security_result_1.action_details。

2024-11-21

增强功能：

将 msg 的映射从 metadata.description 更改为了 security_result.summary。
将 logdesc 映射到 metadata.description。

2024-11-08

增强功能：

将 ui 映射到 principal.ip 和 principal.asset.ip。

2024-11-08

增强功能：

将 ui 映射到 principal.ip 和 principal.asset.ip。

2024-10-15

增强功能：

将 type、subtype 和 level 映射到 additional.fields。

2024-09-20

增强功能：

当 dstosname 等于 DEBIAN 时，将 target.platform 设置为 LINUX。

2024-09-19

增强功能：

当 service 为 kernel 时，移除了下拉标记。
将 mac 映射到 principal.mac。

2024-09-13

增强功能：

在映射 security_result.action UDM 字段值之前，为 ssl-login-fail 和 auth-logon 添加了条件检查。

2024-08-29

增强功能：

如果 action 为 negotiate，请将 security_result.action 设置为 BLOCK。
如果 action 为 tunnel-down、tunnel-stats、tunnel-up 和 ssl-new-con，请将 security_result.action 设置为 ALLOW。
如果 action 几乎等于 tunnel 或 action 为 negotiate，请将 metadata.event_type 设置为 NETWORK_CONNECTION。

2024-08-16

增强功能：

将 security_result.action 的映射从 FAIL 更改为 BLOCK（当 action 为 timeout 时）。

2024-08-13

增强功能：

将 logid 映射到 metadata.product_log_id。
将 vd 映射到 principal.administrative_domain。
将 srcintfrole 映射到 security_result.detection_fields。
将 dstintfrole 映射到 security_result.detection_fields。
将 sentpkt、rcvdpkt、vpntype、authserver、crlevel、trandisp、policyid 和 appcat 映射到 additional.fields。
将 policytype 映射到 security_result.rule_type。
将 craction 映射到 security_result.about.labels。
将 crscore 映射到 security_result.severity_details。
将 group 映射到 principal.user.group_identifiers。

2024-08-06

增强功能：

将 auditid、auditscore、auditid、criticalcount、highcount、mediumcount、lowcount、passedcount、criticalcount、srccountry、direction、dstcountry、dstintf、dstintfrole、xid、qtype、qtypeval、qclass、cat、rcode 和 license_limit 映射到 security_result.detection_fields。
将 cpu、mem、disk、bandwidth、disklograte、fazlograte、freediskstorage、sysuptime、waninfo、trandisp、used_for_type、connection_type、count 和 fctuid 映射到 additional.fields。
将 totalsession 映射到 network.session_duration.seconds。
将 incidentserialno 映射到 network.tls.client.certificate.serial。
将 scertcname 映射到 network.tls.client.certificate.subject。
将 scertissuer 映射到 network.tls.client.certificate.issuer。
将 authserver 映射到 principal.hostname 和 principal.asset.hostname。
将 dstserver 和 dst_host 映射到 target.hostname 和 target.asset.hostname。
将 dsthwvendor 映射到 target.resource.attribute.labels。
将 eventtime 映射到 metadata.event_timestamp。
将 reqtype、rcvdbyte、ratemethod、outintf、cookies、useralt、xauthuser、xauthgroup、assignip、vpntunnel、init、stage、role、advpnsc、tunneltype、tunnelid 和 nextstat 映射到 principal.resource.attribute.labels。
将 policyid 映射到 security_result.rule_id。
将 policytype 映射到 security_result.rule_type。
将 date、time 和 tz 映射到 metadata.ingested_timestamp。
将 profile 映射到 target.resource.name 和 target.resource.resource_type。
如果 user 是有效 IP，则将 user 映射到 principal.ip 和 principal.asset.ip。
将 group 映射到 principal.user.group_identifiers。
将 mode 映射到 security_result.summary。
将 result 映射到 security_result.description。

2024-07-29

增强功能：

在映射 security_result.action UDM 字段之前，为 success 字段添加了条件检查。

2024-07-17

增强功能：

添加了 gsub 来解析未解析的 syslog 日志。

2024-07-02

增强功能：

将 FTNTFGTappcat 映射到 additional.fields。
将 FTNTFGTduration 映射到 network.session_duration.seconds。
将 FTNTFGTsentpkt 映射到 additional.fields 和 network.sent_packets。
将 FTNTFGTrcvdpkt 映射到 additional.fields 和 network.received_packets。
将 FTNTFGTdstintfrole 映射到 security_result.detection_fields。
将 FTNTFGTsrcintfrole 映射到 security_result.detection_fields。
将 FTNTFGTpoluuid 映射到 security_result.rule_id。
将 FTNTFGTvd 映射到 principal.administrative_domain。

2024-05-21

增强功能：

添加了 gsub 来解析 JSON 日志。

2024-04-19

增强功能：

Mapped correctshostvalue toprincipal.hostnameby adding gsub function forfw_versionfield. bug 修复：
添加了对不含 jsonPayload.message 字段的日志的支持。

2024-03-07

增强功能：

将 httpmethod 映射到 network.http.method。
将 agent 映射到 network.http.user_agent 和 network.http.parsed_user_agent。
对齐了 principal.ip 和 principal.asset.ip 的映射。
对齐了 principal.hostname 和 principal.asset.hostname 的映射。
对齐了 target.ip 和 target.asset.ip 的映射。
对齐了 target.hostname 和 target.asset.hostname 的映射。

2023-11-21

bug 修复：

将 dstuser 映射到 event.idm.read_only_udm.target.user.userid。
将 dstauthserver 映射到 event.idm.read_only_udm.target.hostname。
将 poluuid 映射到 event.idm.read_only_udm.additional.fields。
将 srcuuid 映射到 event.idm.read_only_udm.principal.resource.product_object_id。
将 dstuuid 映射到 event.idm.read_only_udm.target.resource.product_object_id。
将 attack 映射到 event.idm.read_only_udm.security_result.category_details。
如果 type 值为 utm 且 subtype 值为 waf，则将 event.idm.read_only_udm.metadata.event_type 从 NETWORK_UNCATEGORIZED 更改为 NETWORK_CONNECTION。
如果 direction 值为 request，请将 event.idm.read_only_udm.network.direction 设置为 OUTBOUND。
如果 direction 值为 response，请将 event.idm.read_only_udm.network.direction 设置为 INBOUND。

2023-11-20

bug 修复：

将 transip 映射到 principal.nat_ip。
将 transport 映射到 principal.nat_port。
将 tranport 映射到 target.nat_port。

2023-07-10

增强功能：

解析了类型为 Added FTP Server 的原始日志。

2023-06-01

增强功能：

将 log_id 映射到 metadata.product_log_id。
将 operation 映射到 security_result.action_details，将 security_result.action 映射到 ALLOW。
将 performed_on 映射到 security_result.about.application。
将 path 映射到 security_result.description。
将 pri 映射到 security_result.severity_details。
将 mode 映射到 security_result.summary。
将 desc 映射到 metadata.description。
将 userfrom 映射到 principal.ip。

2023-05-24

增强功能：

将 severity 映射到 security_result.detection_fields。

2023-04-19

增强功能：

将 srcinetsvc 和 dstinetsvc 映射到 security_result.detection_fields。

2023-03-06

增强功能：

当 type = event 且 subtype = vpn 时，映射到 -
将 event_type 映射到 USER_LOGIN。
将 extensions.auth.type 映射到 VPN。
将 devname 映射到 target.hostname。
将 action 映射到 security_result.action（如果存在），否则映射 utmaction。最初，情况恰恰相反。

2023-02-22

在存在 user 字段时，将 metadata.event_type 映射为 USER_UNCATEGORIZED，而不是 GENERIC_EVENT。
将 msg 映射到 security_result.summary。
将 nas 映射到 principal.nat_ip。
修改了 grok，以便在 logdesc 包含 GUI_ENTRY_DELETION 时解析 target.user.userid 的数据。

2023-01-13

将 shost 映射到 principal.hostname。

2022-11-24

增强功能：

将 tranip 映射到 target.nat_ip。
将 msg 的映射从 security_result.description 更改为 security_result.summary。

2022-10-21

增强功能：

将 suser 映射到 principal.user.user_display_name。
将 duser 映射到 target.user.user_display_name。
将 suid 映射到 principal.user.userid。
将 duid 映射到 target.user.userid。

2022-10-20

bug 修复：

action=close 时，security_result.action 映射从 BLOCK 更改为 ALLOW。

2022-10-13

增强功能：

将 logdesc 为 GUI_ENTRY_DELETION 时 metadata.event_type 的映射从 GENERIC_EVENT 更改为 USER_DELETION
将 msg 映射到 security_result.description
将 devname 映射到 principal.hostname
将 user_name 映射到 target.user.userid
将 level 映射到 security_result.severity_details

2022-10-13

增强功能：

将 logdesc 为 GUI_ENTRY_DELETION 时 metadata.event_type 的映射从 GENERIC_EVENT 更改为 USER_DELETION
将 msg 映射到 security_result.description
将 devname 映射到 principal.hostname
将 user_name 映射到 target.user.userid
将 level 映射到 security_result.severity_details

2022-10-06

bug 修复：

添加了对“utmaction”和“action”字段的条件检查。
将“utmaction”字段映射到 security_result.action（如果存在），否则映射“action”字段。

2022-10-06

bug 修复：

添加了对“utmaction”和“action”字段的条件检查。
将“utmaction”字段映射到 security_result.action（如果存在），否则映射“action”字段。

2022-09-21

增强功能：

如果协议包含 tcp 和 udp，则将“protocol”字段映射到“network.ip_protocol”；否则，将其映射到“network.application_protocol”。
添加了 gsubs 并增强了解析器，以解析具有不同字段名称的 CEF 格式日志。

2022-09-09

增强功能：

将客户专用解析器迁移到了默认解析器。
添加了对 CEF 格式日志的支持。
将字段“cs6”映射到“principal.user.group_identifiers”。
将字段“start”映射到“metadata.event_timestamp”。
将“dvchost”字段映射到“intermediary.hostname”。
将字段“dhost”映射到“target.hostname”。
将字段“src”映射到“principal.ip”。
将字段“spt”映射到“principal.port”。
将字段“sourceTranslatedAddress”映射到“principal.nat_ip”。
将字段“sourceTranslatedPort”映射到了“principal.nat_port”。
将字段“dst”映射到“target.ip”。
将字段“dpt”映射到“target.port”。
将字段“out”映射到“network.sent_bytes”。
将字段“in”映射到了“network.received_bytes”。
将字段“deviceSeverity”映射到“security_result.severity”。
将“act”字段映射到“security_result.action”和“security_result.action_details”。
将字段“sentpkt”映射到“additional.fields”。
将字段“rcvdpkt”映射到“additional.fields”。
为字段“metadata.product_name”“metadata.vendor_name”“sentbyte”“rcvdbyte”“intermediary”添加了条件 null 检查。
针对以下情况修改了“metadata.event_type”字段：
将“GENERIC_EVENT”更改为“NETWORK_UNCATEGORIZED”，前提是 principal.ip 和 target.ip 不为 null。
将“GENERIC_EVENT”更改为“STATUS_UNCATEGORIZED”，前提是 principal.ip 不为 null。

2022-08-22

增强功能：

添加了对 CEF 格式日志的支持。
将字段“vd”映射到“principal.administrative_domain”。
将“status”字段映射到“security_result.summary”。
将字段“msg”映射到“security_result1.description”。
将“ip_address”字段映射到了“principal.ip”，其中包含“msg”字段。
移除了映射到“principal.hostname”的“devname”字段的映射。

2022-08-11

增强功能：

app 字段映射到 additional.fields[n]。
为字段 remip 添加了 null 条件检查。

2022-07-21

增强功能：

将 group 的映射从 principal.user.groupid 修改为了 principal.user.group_identifiers。

2022-07-13

增强功能：

添加了新字段的映射。
将 appcat 映射到 event.idm.read_only_udm.additional.fields`。
将 apprisk 映射到 event.idm.read_only_udm.additional.fields`。
将 applist 映射到 event.idm.read_only_udm.additional.fields`。
将 appact 映射到 event.idm.read_only_udm.additional.fields`。
将 devid 映射到 event.idm.read_only_udm.additional.fields`。

2022-06-20

增强功能：

当字段 action 或 utmaction 的值为 detected 时，将 security_result.action 映射为 ALLOW。

2022-05-20

增强功能：

添加了新字段的映射；
将 action 和 utmaction 映射到 security_result.action_details。
添加了对 principal.ip 和 target.ip 的验证检查。

2022-04-29

增强功能：

向 UDM 添加了对操作 = 超时/关闭的支持。
将 devname 映射到 principal.hostname（当 principal 字段为空时）。

2022-04-12

增强功能：

添加了新字段的映射。
映射到 security_result.rule_id 的 attackid
crlevel 已映射到 security_result.severity
incidentserialno 已映射到 metadata.product_log_id
craction 已映射到 metadata.product_deployment_id
dstintf 已映射到 additional.fields
dstintfrole 已映射到 additional.fields