Diese Seite wurde von der Cloud Translation API übersetzt.

HashiCorp-Audit-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser verarbeitet HashiCorp-Audit-Logs im JSON-, Syslog- oder kombinierten Format. Sie extrahiert Felder, führt Grok- und KV-Parsing für Nachrichten vom Typ „Standard“ und „Runner“ aus, verarbeitet JSON-Nutzlasten und ordnet die extrahierten Daten dem UDM zu. Der Parser umfasst auch die Fehlerbehandlung und das Verwerfen fehlerhafter Logs.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Achten Sie darauf, dass Sie einen Windows 2016-Host oder höher oder einen Linux-Host mit systemd haben.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Prüfen Sie, ob Sie privilegierten Zugriff auf HCP haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Skript aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Skript aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf den Computer zu, auf dem der BindPlane-Agent installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: auditd
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen:
```
sudo systemctl restart bindplane
```

Syslog für HCP Vault aktivieren

Melden Sie sich im HCP-Portal an.
Rufen Sie Vault-Cluster auf.
Wählen Sie Ihren Vault-Cluster aus der Liste der bereitgestellten Cluster aus.
Suchen Sie in der Clusterübersicht die Vault-Adresse (z. B. https://vault-cluster-name.hashicorpcloud.com:8200) und kopieren Sie sie.
Rufen Sie den Abschnitt Zugriffsdetails auf und kopieren Sie das Root-Token.

Vault-Befehlszeile installieren

Für Linux:

curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
sudo apt update && sudo apt install vault

Für macOS (mit Homebrew):

brew tap hashicorp/tap
brew install hashicorp/tap/vault

Für Windows:

Download the executable file.
Extract it and add the Vault binary to your system's PATH.

Prüfen Sie die Installation der Vault CLI mit folgendem Befehl:
```
vault --version
```

HCP Vault mit der CLI konfigurieren, um Audit-Logs an Bindplane zu senden

Öffnen Sie das Terminal oder die Eingabeaufforderung.

Legen Sie die Vault-Serveradresse mit der Umgebungsvariable fest:

export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"

Melden Sie sich mit dem Root-Token bei Vault an:
```
vault login <root-token>
```

Syslog-Pfad zu einem externen Syslog-Socket konfigurieren

Führen Sie den folgenden Befehl aus, um syslog zu aktivieren und an Bindplane Agent zu senden:

vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"

Bestätigen Sie die neue Konfiguration:
```
vault audit list
```
In der Ausgabe sollte die neue Socket-Konfiguration angezeigt werden.

Optional: Einrichtung mit Terraform automatisieren:

Erstellen Sie eine Terraform-Konfigurationsdatei (audit.tf):

resource "vault_audit" "syslog" {
  type        = "syslog"
  description = "Syslog audit logs"
  options = {
    tag      = "vault"
    facility = "LOCAL0"
  }
}

resource "vault_audit" "socket" {
  type        = "socket"
  description = "Remote syslog socket"
  options = {
    address     = "udp://<syslog-server-ip>:514"
    socket_type = "udp"
    tag         = "vault"
  }
}

Wenden Sie die Konfiguration an:

terraform init
terraform apply

Fehlerbehebung bei nicht empfangenen Logs

Prüfen Sie, ob der Syslog-Server erreichbar ist:
```
ping <syslog-server-ip>
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`auth.accessor`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.accessor` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „auth_accessor“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`auth.client_token`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.client_token` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „auth_client_token“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`auth.display_name`	`target.user.user_display_name`	Der Wert von `auth.display_name` aus dem Rohlog wird `target.user.user_display_name` im UDM zugeordnet.
`auth.entity_id`	`target.resource.product_object_id`	Der Wert von `auth.entity_id` aus dem Rohlog wird `target.resource.product_object_id` im UDM zugeordnet.
`auth.metadata.account_id`	`target.user.userid`	Der Wert von `auth.metadata.account_id` aus dem Rohlog wird `target.user.userid` im UDM zugeordnet.
`auth.metadata.auth_type`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.metadata.auth_type` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „auth_type“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`auth.metadata.role_id`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.metadata.role_id` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „role_id“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`auth.metadata.role_name`	`target.resource.attribute.roles.name`	Der Wert von `auth.metadata.role_name` aus dem Rohlog wird `target.resource.attribute.roles.name` im UDM zugeordnet.
`auth.token_ttl`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.token_ttl` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „auth_token_ttl“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`auth.token_type`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.token_type` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „auth_token_type“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`cluster`	`observer.resource.name`	Der Wert von `cluster` aus dem Rohlog wird `observer.resource.name` im UDM zugeordnet.
`error`	`security_result.description`	Der Wert von `error` aus dem Rohlog wird `security_result.description` im UDM zugeordnet.
`headers.accept`	`security_result.about.resource.attribute.labels.value`	Der Wert von `headers.accept` aus dem Rohlog wird in der UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „httpHeaders accept“ zugeordnet.
`headers.httpHeaders.cache-control`	`additional.fields.value.string_value`	Der Wert von `headers.httpHeaders.cache-control` aus dem Rohlog wird in der UDM einem Feld mit dem Schlüssel „httpHeaders cache control“ unter `additional.fields` zugeordnet.
`headers.snyk-acting-org-public-id`	`principal.resource.attribute.labels.value`	Der Wert von `headers.snyk-acting-org-public-id` aus dem Rohlog wird in der UDM dem Label mit dem Schlüssel „snyk-acting-org-public-id“ unter `principal.resource.attribute.labels` zugeordnet.
`headers.snyk-flow-name`	`principal.resource.attribute.labels.value`	Der Wert von `headers.snyk-flow-name` aus dem Rohlog wird in der UDM unter `principal.resource.attribute.labels` einem Label mit dem Schlüssel „snyk-flow-name“ zugeordnet.
`headers.snyk-request-id`	`principal.resource.attribute.labels.value`	Der Wert von `headers.snyk-request-id` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „snyk-request-id“ unter `principal.resource.attribute.labels` zugeordnet.
`headers.user-agent`	`network.http.parsed_user_agent`	Der Wert von `headers.user-agent` aus dem Rohlog wird als User-Agent geparst und in der UDM `network.http.parsed_user_agent` zugeordnet.
`headers.x-forwarded-host`	`principal.hostname`	Der Wert von `headers.x-forwarded-host` aus dem Rohlog wird `principal.hostname` im UDM zugeordnet.
`headers.x-forwarded-port`	`principal.port`	Der Wert von `headers.x-forwarded-port` aus dem Rohlog wird `principal.port` im UDM zugeordnet.
`headers.x-real-ip`	`principal.ip`	Der Wert von `headers.x-real-ip` aus dem Rohlog wird `principal.ip` im UDM zugeordnet.
`hostname`	`observer.hostname`	Der Wert von `hostname` aus dem Rohlog wird `observer.hostname` im UDM zugeordnet.
`httpHeaders.cf-cache-status`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.cf-cache-status` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „cf-cache-status“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.cf-ray`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.cf-ray` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „cf-ray“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.content-length`	`security_result.about.resource.attribute.labels.value`	Der Wert von `httpHeaders.content-length` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „httpHeaders Content-Length“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`httpHeaders.content-type`	`security_result.about.resource.attribute.labels.value`	Der Wert von `httpHeaders.content-type` aus dem Rohlog wird in der UDM dem Label mit dem Schlüssel „httpHeaders Content-Type“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`httpHeaders.gitlab-lb`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.gitlab-lb` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „gitlab-lb“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.gitlab-sv`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.gitlab-sv` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „gitlab-sv“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.ratelimit-limit`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-limit` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „ratelimit-limit“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.ratelimit-observed`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-observed` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „ratelimit-observed“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.ratelimit-remaining`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-remaining` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „ratelimit-remaining“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.ratelimit-reset`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-reset` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „ratelimit-reset“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.ratelimit-resettime`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-resettime` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „ratelimit-resettime“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.referrer-policy`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.referrer-policy` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „referrer-policy“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.server`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.server` aus dem Rohlog wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „server“ zugeordnet.
`httpHeaders.x-content-type-options`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.x-content-type-options` aus dem Rohlog wird in der UDM dem Label mit dem Schlüssel „x-content-type-options“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.x-frame-options`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.x-frame-options` aus dem Rohlog wird im UDM dem Label mit dem Schlüssel „x-frame-options“ unter `target.resource.attribute.labels` zugeordnet.
`httpHeaders.x-request-id`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.x-request-id` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „x-request-id“ unter `target.resource.attribute.labels` zugeordnet.
`httpStatus`	`network.http.response_code`	Der Wert von `httpStatus` aus dem Rohlog wird `network.http.response_code` im UDM zugeordnet.
`httpUrl`	`target.url`	Der Wert von `httpUrl` aus dem Rohlog wird `target.url` im UDM zugeordnet.
`insertId`	`metadata.product_log_id`	Der Wert von `insertId` aus dem Rohlog wird `metadata.product_log_id` im UDM zugeordnet.
`job`	`additional.fields.value.string_value`	Der Wert von `job` aus dem Rohlog wird im UDM einem Feld mit dem Schlüssel „job id“ unter `additional.fields` zugeordnet.
`job_status`	`additional.fields.value.string_value`	Der Wert von `job_status` aus dem Rohlog wird im UDM einem Feld mit dem Schlüssel „job_status“ unter `additional.fields` zugeordnet.
`labels.compute.googleapis.com/resource_name`	`target.resource.name`	Der Wert von `labels.compute.googleapis.com/resource_name` aus dem Rohlog wird `target.resource.name` im UDM zugeordnet.
`labels.k8s-pod/app_kubernetes_io/instance`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/app_kubernetes_io/instance` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „Kubernetes IO Instance“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/app_kubernetes_io/name`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/app_kubernetes_io/name` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „Kubernetes IO Instance Name“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/component`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/component` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „component“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/controller-revision-hash`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/controller-revision-hash` aus dem Rohlog wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Controller Revision Hash“ zugeordnet.
`labels.k8s-pod/helm_sh/chart`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/helm_sh/chart` aus dem Rohlog wird im UDM dem Label mit dem Schlüssel „Kubernetes IO Instance Manager SH“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/vault-active`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-active` aus dem Rohlog wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Vault active“ zugeordnet.
`labels.k8s-pod/vault-initialized`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-initialized` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „Vault initialized“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/vault-perf-standby`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-perf-standby` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „vault perf standby“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/vault-sealed`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-sealed` aus dem Rohlog wird im UDM dem Label mit dem Schlüssel „Vault sealed“ unter `target.resource.attribute.labels` zugeordnet.
`labels.k8s-pod/vault-version`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-version` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „Vault version“ unter `target.resource.attribute.labels` zugeordnet.
`maskedToken`	`security_result.about.resource.attribute.labels.value`	Der Wert von `maskedToken` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „maskedToken“ unter `security_result.about.resource.attribute.labels` zugeordnet.
`method`	`network.http.method`, `operation`	Der Wert von `method` aus dem Rohlog wird `operation` zugeordnet. Wenn `operation` nicht leer ist, wird `network.application_protocol` auf „HTTP“ gesetzt. `network.http.method` wird aus dem Wert von `operation` abgeleitet.
`msg`	`metadata.description`	Der Wert von `msg` aus dem Rohlog wird `metadata.description` im UDM zugeordnet.
`pid`	`target.process.pid`	Der Wert von `pid` aus dem Rohlog wird `target.process.pid` im UDM zugeordnet.
`request.client_token`	`target.resource.attribute.labels.value`	Der Wert von `request.client_token` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „request_client_token“ unter `target.resource.attribute.labels` zugeordnet.
`request.client_token_accessor`	`target.resource.attribute.labels.value`	Der Wert von `request.client_token_accessor` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „request_client_token_accessor“ unter `target.resource.attribute.labels` zugeordnet.
`request.data.role_id`	`target.resource.attribute.labels.value`	Der Wert von `request.data.role_id` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „request_data_role_id“ unter `target.resource.attribute.labels` zugeordnet.
`request.data.secret_id`	`target.resource.attribute.labels.value`	Der Wert von `request.data.secret_id` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „request_data_secret_id“ unter `target.resource.attribute.labels` zugeordnet.
`request.id`	`network.session_id`	Der Wert von `request.id` aus dem Rohlog wird `network.session_id` im UDM zugeordnet.
`request.mount_accessor`	`target.resource.attribute.labels.value`	Der Wert von `request.mount_accessor` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „request_mount_accessor“ unter `target.resource.attribute.labels` zugeordnet.
`request.mount_type`	`target.resource.attribute.labels.value`	Der Wert von `request.mount_type` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „request_mount_type“ unter `target.resource.attribute.labels` zugeordnet.
`request.namespace.id`	`target.namespace`	Der Wert von `request.namespace.id` aus dem Rohlog wird `target.namespace` im UDM zugeordnet.
`request.operation`	`target.resource.attribute.labels.value`, `network.http.method`, `operation`	Der Wert von `request.operation` aus dem Rohlog wird `operation` zugeordnet. Wenn `operation` nicht leer ist, wird `network.application_protocol` auf „HTTP“ gesetzt. `network.http.method` wird aus dem Wert von `operation` abgeleitet. Der Wert von `request.operation` wird auch einem Label mit dem Schlüssel „capabilities“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`request.path`	`target.url`	Der Wert von `request.path` aus dem Rohlog wird `target.url` im UDM zugeordnet.
`request.remote_address`	`principal.ip`	Der Wert von `request.remote_address` aus dem Rohlog wird `principal.ip` im UDM zugeordnet.
`request.remote_port`	`principal.port`	Der Wert von `request.remote_port` aus dem Rohlog wird `principal.port` im UDM zugeordnet.
`request.wrap_ttl`	`target.resource.attribute.labels.value`	Der Wert von `request.wrap_ttl` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „request_wrap_ttl“ unter `target.resource.attribute.labels` zugeordnet.
`resource.labels.container_name`	`additional.fields.value.string_value`	Der Wert von `resource.labels.container_name` aus dem Rohlog wird in der UDM dem Feld mit dem Schlüssel „container name“ unter `additional.fields` zugeordnet.
`resource.labels.location`	`target.location.name`	Der Wert von `resource.labels.location` aus dem Rohlog wird `target.location.name` im UDM zugeordnet.
`resource.labels.namespace_name`	`target.namespace`	Der Wert von `resource.labels.namespace_name` aus dem Rohlog wird `target.namespace` im UDM zugeordnet.
`resource.labels.pod_name`	`additional.fields.value.string_value`	Der Wert von `resource.labels.pod_name` aus dem Rohlog wird in der UDM dem Feld mit dem Schlüssel „pod_name“ unter `additional.fields` zugeordnet.
`resource.labels.project_id`	`target.cloud.project.name`	Der Wert von `resource.labels.project_id` aus dem Rohlog wird `target.cloud.project.name` im UDM zugeordnet.
`response.data.num_uses`	`target.resource.attribute.labels.value`	Der Wert von `response.data.num_uses` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „response_data_num_uses“ unter `target.resource.attribute.labels` zugeordnet.
`response.data.orphan`	`target.resource.attribute.labels.value`	Der Wert von `response.data.orphan` aus dem Rohlog wird im UDM dem Label mit dem Schlüssel „response_data_orphan“ unter `target.resource.attribute.labels` zugeordnet.
`response.data.renewable`	`target.resource.attribute.labels.value`	Der Wert von `response.data.renewable` aus dem Rohlog wird im UDM einem Label mit dem Schlüssel „response_data_renewable“ unter `target.resource.attribute.labels` zugeordnet.
`response.data.ttl`	`target.resource.attribute.labels.value`	Der Wert von `response.data.ttl` aus dem Rohlog wird in der UDM dem Label mit dem Schlüssel „response_data_ttl“ unter `target.resource.attribute.labels` zugeordnet.
`response.wrap_info.accessor`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.accessor` aus dem Rohlog wird in der UDM dem Label mit dem Schlüssel „response_wrap_info_accessor“ unter `target.resource.attribute.labels` zugeordnet.
`response.wrap_info.token`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.token` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „response_wrap_info_token“ unter `target.resource.attribute.labels` zugeordnet.
`response.wrap_info.ttl`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.ttl` aus dem Rohlog wird im UDM dem Label mit dem Schlüssel „response_wrap_info_ttl“ unter `target.resource.attribute.labels` zugeordnet.
`response.wrap_info.wrapped_accessor`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.wrapped_accessor` aus dem Rohlog wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_wrap_info_wrapped_accessor“ zugeordnet.
`runner`	`principal.user.userid`	Der Wert von `runner` aus dem Rohlog wird `principal.user.userid` im UDM zugeordnet.
`status`	`network.http.response_code`	Der Wert von `status` aus dem Rohlog wird `network.http.response_code` im UDM zugeordnet.
`streamingID`	`target.resource.attribute.labels.value`	Der Wert von `streamingID` aus dem Rohlog wird in der UDM einem Label mit dem Schlüssel „streamingID“ unter `target.resource.attribute.labels` zugeordnet.
`time`	`metadata.event_timestamp.seconds`, `metadata.event_timestamp.nanos`	Der Wert von `time` aus dem Rohlog wird geparst und zum Ausfüllen des Felds `metadata.event_timestamp` im UDM verwendet.
`type`	`metadata.product_event_type`	Der Wert von `type` aus dem Rohlog wird `metadata.product_event_type` im UDM zugeordnet.
`url`	`principal.url`	Der Wert von `url` aus dem Rohlog wird `principal.url` im UDM zugeordnet. Der Wert „MACHINE“ wird `extensions.auth.type` im UDM zugewiesen. Der Wert „USER_LOGIN“ wird `metadata.event_type` im UDM zugewiesen. Der Wert „HASHICORP“ wird `metadata.log_type` im UDM zugewiesen. Der Wert „HASHICORP“ wird `metadata.product_name` im UDM zugewiesen. Der Wert „HASHICORP“ wird `metadata.vendor_name` im UDM zugewiesen. Der Wert „SERVICE_ACCOUNT“ wird `target.resource.attribute.roles.type` im UDM zugewiesen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten