ntopng-Logs erfassen

Unterstützt in:

Übersicht

Mit diesem Parser werden ntopng-Logs zur Netzwerküberwachung im SYSLOG- oder JSON-Format extrahiert. Sie parst die Log-Nachricht, konvertiert die relevanten Felder in das UDM-Format und reichert das Ereignis mit Metadaten wie Produkt- und Anbieternamen an. Der Parser verarbeitet auch verschachtelte JSON-Strukturen und ordnet bestimmte ntopng-Felder UDM-Netzwerkereignissen zu, einschließlich Flusswarnungen und Zugriff auf Nutzerressourcen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf ntopng.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Ntopng Logs (Ntopng-Protokolle).
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Ntopng als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  11. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  12. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
  13. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  14. Klicken Sie auf Fertig.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

  • Feedname:Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp:Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace:Der mit dem Feed verknüpfte Namespace.

  • Aufnahmelabels:Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  • Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.

  • Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.

  • Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Schränken Sie den API-Schlüsselzugriff auf die Google Security Operations API ein.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.

  2. Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

  3. Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: Die URL des Feed-Endpunkts.
    • API_KEY: Der API-Schlüssel für die Authentifizierung bei Google Security Operations.
    • SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in ntopng für Google SecOps konfigurieren

  1. Melden Sie sich in der ntopng-Weboberfläche an.
  2. Wählen Sie im Drop-down-Menü das Menü System aus.
  3. Rufen Sie Benachrichtigungen > Endpunkte auf.
  4. Klicken Sie auf Hinzufügen .
  5. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Endpunktname: Geben Sie einen eindeutigen und aussagekräftigen Namen an, z. B. Google SecOps.
    • Endpunkttyp: Wählen Sie Webhook aus der Liste aus.
    • Webhook-URL: Geben Sie die Google SecOps-ENDPOINT_URL mit API_KEY und SECRET ein.
  6. Klicken Sie auf Hinzufügen.
  7. Rufen Sie Benachrichtigungen > Empfänger auf.
  8. Klicken Sie auf Hinzufügen .
  9. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Empfängername: Geben Sie einen eindeutigen und aussagekräftigen Namen an (z. B. Google SecOps).
    • Endpunkt auswählen: Wählen Sie den zuvor erstellten Endpunkt aus.
    • Schweregrad: Wählen Sie den Schweregrad aus, der an Google SecOps gesendet werden soll (z. B. Info, Warnung und Fehler).
    • Kategoriefilter: Wählen Sie aus, was an Google SecOps gesendet werden soll.
  10. Klicken Sie auf Empfänger testen, um die Verbindung zu überprüfen.
  11. Klicken Sie auf Hinzufügen, um den Webhook zu speichern.

Abonnenten für ntopng-Webhook-Ressourcen konfigurieren

  1. Gehen Sie zu Pools.

  2. Wählen Sie die Ressource aus, aus der die Ereignisse geteilt werden sollen.

  3. Klicken Sie in der Spalte Aktionen auf das Stiftsymbol.

  4. Klicken Sie auf das Drop-down-Menü Empfänger.

  5. Wählen Sie den Google SecOps-Webhook-Empfänger aus.

  6. Klicken Sie auf Bearbeiten, um die Konfiguration zu speichern.

  7. Wiederholen Sie den Vorgang für andere Ressourcen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
action security_result.detection_fields.key=action, security_result.detection_fields.value=%{action} Der Wert von action aus dem Rohlog wird einem security_result.detection_fields-Objekt mit dem Schlüssel „action“ zugeordnet.
alert_generation.host_info.broadcast_domain_host security_result.detection_fields.key=host_info broadcast_domain_host, security_result.detection_fields.value=%{alert_generation.host_info.broadcast_domain_host} Der Wert von alert_generation.host_info.broadcast_domain_host aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info broadcast_domain_host“ zugeordnet.
alert_generation.host_info.dhcpHost security_result.detection_fields.key=host_info dhcpHost, security_result.detection_fields.value=%{alert_generation.host_info.dhcpHost} Der Wert von alert_generation.host_info.dhcpHost aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info dhcpHost“ zugeordnet.
alert_generation.host_info.is_blacklisted security_result.detection_fields.key=host_info is_blacklisted, security_result.detection_fields.value=%{alert_generation.host_info.is_blacklisted} Der Wert von alert_generation.host_info.is_blacklisted aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info is_blacklisted“ zugeordnet.
alert_generation.host_info.is_broadcast security_result.detection_fields.key=host_info is_broadcast, security_result.detection_fields.value=%{alert_generation.host_info.is_broadcast} Der Wert von alert_generation.host_info.is_broadcast aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info is_broadcast“ zugeordnet.
alert_generation.host_info.is_multicast security_result.detection_fields.key=host_info is_multicast, security_result.detection_fields.value=%{alert_generation.host_info.is_multicast} Der Wert von alert_generation.host_info.is_multicast aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info is_multicast“ zugeordnet.
alert_generation.host_info.localhost security_result.detection_fields.key=host_info localhost, security_result.detection_fields.value=%{alert_generation.host_info.localhost} Der Wert von alert_generation.host_info.localhost aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info localhost“ zugeordnet.
alert_generation.host_info.privatehost security_result.detection_fields.key=host_info privatehost, security_result.detection_fields.value=%{alert_generation.host_info.privatehost} Der Wert von alert_generation.host_info.privatehost aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info privatehost“ zugeordnet.
alert_generation.host_info.systemhost security_result.detection_fields.key=host_info systemhost, security_result.detection_fields.value=%{alert_generation.host_info.systemhost} Der Wert von alert_generation.host_info.systemhost aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „host_info systemhost“ zugeordnet.
alert_generation.script_key security_result.category_details=%{alert_generation.script_key} Der Wert von alert_generation.script_key aus dem verschachtelten JSON wird security_result.category_details zugeordnet.
alert_generation.subdir security_result.detection_fields.key=alert_generation_subdir, security_result.detection_fields.value=%{alert_generation.subdir} Der Wert von alert_generation.subdir aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „alert_generation_subdir“ zugeordnet.
alert_id security_result.detection_fields.key=alert_id, security_result.detection_fields.value=%{alert_id} Der Wert von alert_id aus dem Rohlog wird einem security_result.detection_fields-Objekt mit dem Schlüssel „alert_id“ zugeordnet.
alerts_map security_result.detection_fields.key=alerts_map, security_result.detection_fields.value=%{alerts_map} Der Wert von alerts_map aus dem Rohlog wird einem security_result.detection_fields-Objekt mit dem Schlüssel „alerts_map“ zugeordnet.
cli2srv_bytes network.sent_bytes Der Wert von cli2srv_bytes aus dem Rohlog wird in eine vorzeichenlose Ganzzahl konvertiert und network.sent_bytes zugeordnet.
cli_asn principal.resource.attribute.labels.key=cli_asn, principal.resource.attribute.labels.value=%{cli_asn} Der Wert von cli_asn aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „cli_asn“ zugeordnet.
cli_blacklisted principal.resource.attribute.labels.key=cli_blacklisted, principal.resource.attribute.labels.value=%{cli_blacklisted} Der Wert von cli_blacklisted aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „cli_blacklisted“ zugeordnet.
cli_city_name principal.location.city Der Wert von cli_city_name aus dem Rohlog wird principal.location.city zugeordnet.
cli_continent_name principal.resource.attribute.labels.key=cli_continent_name, principal.resource.attribute.labels.value=%{cli_continent_name} Der Wert von cli_continent_name aus dem Rohlog wird einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „cli_continent_name“ zugeordnet.
cli_country_name principal.location.country_or_region Der Wert von cli_country_name aus dem Rohlog wird principal.location.country_or_region zugeordnet.
cli_host_pool_id principal.resource.attribute.labels.key=cli_host_pool_id, principal.resource.attribute.labels.value=%{cli_host_pool_id} Der Wert von cli_host_pool_id aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „cli_host_pool_id“ zugeordnet.
cli_ip principal.ip, principal.asset.ip Der Wert von cli_ip aus dem Rohlog wird principal.ip und principal.asset.ip zugeordnet.
cli_localhost principal.resource.attribute.labels.key=cli_localhost, principal.resource.attribute.labels.value=%{cli_localhost} Der Wert von cli_localhost aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „cli_localhost“ zugeordnet.
cli_location principal.location.name Der Wert von cli_location aus dem Rohlog wird in einen String konvertiert. Wenn der Wert nicht „0“ ist, wird er principal.location.name zugeordnet.
cli_name principal.hostname, principal.asset.hostname Der Wert von cli_name aus dem Rohlog wird principal.hostname und principal.asset.hostname zugeordnet.
cli_network principal.resource.attribute.labels.key=cli_network, principal.resource.attribute.labels.value=%{cli_network} Der Wert von cli_network aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „cli_network“ zugeordnet.
cli_port principal.port Der Wert von cli_port aus dem Rohlog wird in eine Ganzzahl konvertiert und principal.port zugeordnet.
entity_id principal.resource.attribute.labels.key=entity_id, principal.resource.attribute.labels.value=%{entity_id} Der Wert von entity_id aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „entity_id“ zugeordnet.
entity_val principal.resource.attribute.labels.key=entity_val, principal.resource.attribute.labels.value=%{entity_val} Der Wert von entity_val aus dem Rohlog wird einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „entity_val“ zugeordnet, sofern er nicht dem Wert von ip entspricht.
event.type metadata.event_type Wird von der Parserlogik basierend auf dem Vorhandensein der Felder principal, target und network bestimmt. Mögliche Werte: NETWORK_FLOW, NETWORK_UNCATEGORIZED, USER_RESOURCE_ACCESS, GENERIC_EVENT.
first_seen principal.asset.first_seen_time Der Wert von first_seen aus dem Rohlog wird in einen String konvertiert, als Millisekunden seit der Epoche geparst und principal.asset.first_seen_time zugeordnet.
flow_risk_bitmap security_result.detection_fields.key=flow_risk_bitmap, security_result.detection_fields.value=%{flow_risk_bitmap} Der Wert von flow_risk_bitmap aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „flow_risk_bitmap“ zugeordnet.
granularity security_result.detection_fields.key=granularity, security_result.detection_fields.value=%{granularity} Der Wert von granularity aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „granularity“ zugeordnet.
hash_entry_id security_result.detection_fields.key=hash_entry_id, security_result.detection_fields.value=%{hash_entry_id} Der Wert von hash_entry_id aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „hash_entry_id“ zugeordnet.
host_ip principal.ip, principal.asset.ip Die aus dem <INT>Oct 20 15:34:53 1.1.1.1-Teil der Nachricht extrahierte IP-Adresse wird principal.ip und principal.asset.ip zugeordnet.
ifid principal.asset_id Der Wert von ifid aus dem Rohlog wird in einen String konvertiert und mit dem Präfix „ifid: “ principal.asset_id zugeordnet.
ip principal.ip, principal.asset.ip oder target.ip, target.asset.ip Wenn is_client „true“ ist, wird der Wert von ip aus dem Rohlog principal.ip und principal.asset.ip zugeordnet. Wenn is_server „true“ ist, wird es target.ip und target.asset.ip zugeordnet.
is_cli_attacker security_result.detection_fields.key=is_cli_attacker, security_result.detection_fields.value=%{is_cli_attacker} Der Wert von is_cli_attacker aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „is_cli_attacker“ zugeordnet.
is_cli_victim security_result.detection_fields.key=is_cli_victim, security_result.detection_fields.value=%{is_cli_victim} Der Wert von is_cli_victim aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „is_cli_victim“ zugeordnet.
is_flow_alert security_result.detection_fields.key=is_flow_alert, security_result.detection_fields.value=%{is_flow_alert}, security_result.detection_fields.key=alert type, security_result.detection_fields.value=flow Der Wert von is_flow_alert aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „is_flow_alert“ zugeordnet. Wenn is_flow_alert „true“ ist, wird auch ein security_result.detection_fields-Objekt mit dem Schlüssel „alert type“ und dem Wert „flow“ erstellt.
is_srv_attacker security_result.detection_fields.key=is_srv_attacker, security_result.detection_fields.value=%{is_srv_attacker} Der Wert von is_srv_attacker aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „is_srv_attacker“ zugeordnet.
is_srv_victim security_result.detection_fields.key=is_srv_victim, security_result.detection_fields.value=%{is_srv_victim} Der Wert von is_srv_victim aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „is_srv_victim“ zugeordnet.
metadata.product_name metadata.product_name=NTOPNG Fest codiert auf „NTOPNG“.
metadata.vendor_name metadata.vendor_name=%{vendor_name} Der Wert von vendor_name aus der Nachricht wird metadata.vendor_name zugeordnet.
name principal.hostname, principal.asset.hostname oder target.hostname, target.asset.hostname Wenn is_client „true“ ist, wird der Wert von name aus dem Rohlog principal.hostname und principal.asset.hostname zugeordnet. Wenn is_server „true“ ist, wird es target.hostname und target.asset.hostname zugeordnet.
ntopng_key security_result.detection_fields.key=ntopng_key, security_result.detection_fields.value=%{ntopng_key} Der Wert von ntopng.key (in ntopng_key umbenannt) aus dem verschachtelten JSON wird einem security_result.detection_fields-Objekt mit dem Schlüssel „ntopng_key“ zugeordnet.
observation_point_id observer.asset_id Der Wert von observation_point_id aus dem Rohlog wird in einen String konvertiert. Wenn der Wert nicht „0“ ist, wird er mit dem Präfix „id: “ auf observer.asset_id abgebildet.
pool_id principal.resource.attribute.labels.key=pool_id, principal.resource.attribute.labels.value=%{pool_id} Der Wert von pool_id aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „pool_id“ zugeordnet.
probe_ip intermediary.ip Der Wert von probe_ip aus dem Rohlog wird intermediary.ip zugeordnet.
proto.confidence security_result.confidence_details Der Wert von proto.confidence aus dem Rohlog wird in einen String konvertiert und security_result.confidence_details zugeordnet.
proto.http.last_method network.http.method Der Wert von proto.http.last_method aus dem Rohlog wird network.http.method zugeordnet.
proto.http.last_return_code network.http.response_code Der Wert von proto.http.last_return_code aus dem Rohlog wird in eine Ganzzahl konvertiert und network.http.response_code zugeordnet.
proto.http.last_server_name network.tls.client.server_name Der Wert von proto.http.server_name aus dem Rohlog wird network.tls.client.server_name zugeordnet.
proto.http.last_url network.http.referral_url Der Wert von proto.http.last_url aus dem Rohlog wird network.http.referral_url zugeordnet.
proto.http.last_user_agent network.http.user_agent Der Wert von proto.http.last_user_agent aus dem Rohlog wird network.http.user_agent zugeordnet.
proto.http.server_name network.tls.client.server_name Der Wert von proto.http.server_name aus dem Rohlog wird network.tls.client.server_name zugeordnet.
proto.l4 network.ip_protocol Der Wert von proto.l4 aus dem Rohlog wird network.ip_protocol zugeordnet.
proto_ndpi additional.fields.key=proto ndpi, additional.fields.value.string_value=%{proto_ndpi}, network.application_protocol Der Wert von proto.ndpi (in proto_ndpi umbenannt) aus dem Rohlog wird einem additional.fields-Objekt mit dem Schlüssel „proto ndpi“ zugeordnet. Außerdem wird damit der Wert von network.application_protocol anhand von Keywords wie „NTP“ und „HTTP“ bestimmt.
proto_ndpi_app principal.application Der Wert von proto_ndpi_app aus dem Rohlog wird principal.application zugeordnet.
proto_ndpi_breed security_result.detection_fields.key=proto_ndpi_breed, security_result.detection_fields.value=%{proto_ndpi_breed} Der Wert von proto_ndpi_breed aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „proto_ndpi_breed“ zugeordnet.
proto_ndpi_cat security_result.category_details Der Wert von proto_ndpi_cat aus dem Rohlog wird security_result.category_details zugeordnet.
proto_ndpi_cat_id security_result.detection_fields.key=proto_ndpi_cat_id, security_result.detection_fields.value=%{proto_ndpi_cat_id} Der Wert von proto_ndpi_cat_id aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „proto_ndpi_cat_id“ zugeordnet.
score security_result.detection_fields.key=score, security_result.detection_fields.value=%{score} Der Wert von score aus dem Rohlog wird in einen String konvertiert und einem security_result.detection_fields-Objekt mit dem Schlüssel „score“ zugeordnet.
srv2cli_bytes network.received_bytes Der Wert von srv2cli_bytes aus dem Rohlog wird in eine vorzeichenlose Ganzzahl konvertiert und network.received_bytes zugeordnet.
srv_asn target.resource.attribute.labels.key=srv_asn, target.resource.attribute.labels.value=%{srv_asn} Der Wert von srv_asn aus dem Rohlog wird in einen String konvertiert und einem target.resource.attribute.labels-Objekt mit dem Schlüssel „srv_asn“ zugeordnet.
srv_blacklisted target.resource.attribute.labels.key=srv_blacklisted, target.resource.attribute.labels.value=%{srv_blacklisted} Der Wert von srv_blacklisted aus dem Rohlog wird in einen String konvertiert und einem target.resource.attribute.labels-Objekt mit dem Schlüssel „srv_blacklisted“ zugeordnet.
srv_city_name target.location.city Der Wert von srv_city_name aus dem Rohlog wird target.location.city zugeordnet.
srv_continent_name target.resource.attribute.labels.key=srv_continent_name, target.resource.attribute.labels.value=%{srv_continent_name} Der Wert von srv_continent_name aus dem Rohlog wird einem target.resource.attribute.labels-Objekt mit dem Schlüssel „srv_continent_name“ zugeordnet.
srv_country_name target.location.country_or_region Der Wert von srv_country_name aus dem Rohlog wird target.location.country_or_region zugeordnet.
srv_host_pool_id target.resource.attribute.labels.key=srv_host_pool_id, target.resource.attribute.labels.value=%{srv_host_pool_id} Der Wert von srv_host_pool_id aus dem Rohlog wird in einen String konvertiert und einem target.resource.attribute.labels-Objekt mit dem Schlüssel „srv_host_pool_id“ zugeordnet.
srv_ip target.ip, target.asset.ip Der Wert von srv_ip aus dem Rohlog wird target.ip und target.asset.ip zugeordnet.
srv_localhost target.resource.attribute.labels.key=srv_localhost, target.resource.attribute.labels.value=%{srv_localhost} Der Wert von srv_localhost aus dem Rohlog wird in einen String konvertiert und einem target.resource.attribute.labels-Objekt mit dem Schlüssel „srv_localhost“ zugeordnet.
srv_location target.location.name Der Wert von srv_location aus dem Rohlog wird in einen String konvertiert. Wenn der Wert nicht „0“ ist, wird er target.location.name zugeordnet.
srv_location_lat target.location.region_coordinates.latitude Der Wert von srv_location_lat aus dem Rohlog wird target.location.region_coordinates.latitude zugeordnet.
srv_location_lon target.location.region_coordinates.longitude Der Wert von srv_location_lon aus dem Rohlog wird target.location.region_coordinates.longitude zugeordnet.
srv_name target.hostname, target.asset.hostname Der Wert von srv_name aus dem Rohlog wird target.hostname und target.asset.hostname zugeordnet.
srv_network target.resource.attribute.labels.key=srv_network, target.resource.attribute.labels.value=%{srv_network} Der Wert von srv_network aus dem Rohlog wird in einen String konvertiert und einem target.resource.attribute.labels-Objekt mit dem Schlüssel „srv_network“ zugeordnet.
srv_port target.port Der Wert von srv_port aus dem Rohlog wird in eine Ganzzahl konvertiert und target.port zugeordnet.
tstamp additional.fields.key=tstamp, additional.fields.value.string_value=%{tstamp} Der Wert von tstamp aus dem Rohlog wird in einen String konvertiert und einem additional.fields-Objekt mit dem Schlüssel „tstamp“ zugeordnet.
vlan_id principal.resource.attribute.labels.key=vlan_id, principal.resource.attribute.labels.value=%{vlan_id} Der Wert von vlan_id aus dem Rohlog wird in einen String konvertiert und einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „vlan_id“ zugeordnet.
when metadata.event_timestamp Der Wert von when aus dem Rohlog wird als Zeitstempel geparst und metadata.event_timestamp zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten