osquery-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie osquery-Logs erfassen können, indem Sie osquery und einen Google Security Operations-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Protokolltypen und osquery-Versionen aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Übersicht
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie osquery-Agents und der Fleet-Server so konfiguriert sind, dass Logs an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Linux-System: Das zu überwachende Linux-System, auf dem der osquery-Agent installiert ist
Microsoft Windows-System: Das zu überwachende Microsoft Windows-System, auf dem der osquery-Agent installiert ist
Mac-System: Das Mac-System, das überwacht werden soll und auf dem der osquery-Agent installiert ist
osquery-Agent: Erfasst Informationen vom Microsoft Windows-, Linux- oder Mac-System und leitet die Informationen an den Fleet-Server weiter.
Fleet-Server: Überwacht und empfängt Informationen von den osquery-Agents, analysiert die Logs und leitet sie an den Google Security Operations-Forwarder weiter.
Bindplane-Agent: Der Bindplane-Agent ruft Logs von osquery ab und sendet sie an Google SecOps.
Google Security Operations-Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Google Security Operations weiterzuleiten.
Google Security Operations: Behält die Logs vom Flottenserver bei und analysiert sie.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel OSQUERY_EDR.
Hinweise
Installieren Sie den Fleet-Server. So installieren Sie den Fleet-Server:
Verwenden Sie eine osquery-Version, die vom Google Security Operations-Parser unterstützt wird, d. h. 5.2.3 und 5.3.0.
Prüfen Sie, ob alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Prüfen Sie, ob die Tabellennamen in Fleet der offiziellen Fleet-Dokumentation entsprechen.
osquery-Agent, -Server und Google Security Operations-Forwarder konfigurieren
So konfigurieren Sie den Fleet-Server und den Google Security Operations-Forwarder:
So konfigurieren Sie den Flottenserver:
Fügen Sie Fleet Server Hosts hinzu und installieren Sie den osquery-Agent. Sie können Ihren Host mit einem osquery-Installationsprogramm zum Flottenserver hinzufügen. Der Flotten-Server hilft dabei, mit dem Befehl „fleetctl package“ ein osquery-Installationsprogramm zu generieren.
- Führen Sie den fleetctl-Paketbefehl aus, indem Sie das fleetctl-Befehlszeilentool installieren.
- Installieren Sie den osquery-Agenten mit dem fleetctl-Paketbefehl.
Wenn Sie das generierte osquery-Installationsprogramm auf einem Host installieren, wird der Host automatisch in der angegebenen Flotteninstanz registriert.
Rufen Sie die Logs vom osquery-Agent ab. Informationen zum Erstellen einer Abfrage in Fleet zum Abrufen der Logs finden Sie unter Abfrage erstellen. Informationen zum Planen einer Abfrage finden Sie unter Abfrage planen.
Konfigurieren Sie den Google Security Operations-Forwarder auf einem zentralen Linux-Gerät, um die Logs in das Google Security Operations-System zu übertragen. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google SecOps-Forwarder-Konfiguration:
- file: common: enabled: true data_type: OSQUERY_EDR data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path> filter:
Logs mit dem BindPlane-Agent an Google SecOps weiterleiten
- Installieren und richten Sie eine virtuelle Linux-Maschine ein.
- BindPlane-Agent unter Linux installieren und konfigurieren, um Logs an Google SecOps weiterzuleiten Weitere Informationen zur Installation und Konfiguration des Bindplane-Agents finden Sie in der Anleitung zur Installation und Konfiguration des Bindplane-Agents.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.
Unterstützte osquery-Logformate
Der osquery-Parser unterstützt Logs im JSON-Format.
Unterstützte osquery-Beispiellogs
JSON:
{ "name": "account_policy_data", "hostIdentifier": "dummyhostidentifier", "calendarTime": "Tue May 17 11:27:28 2022 UTC", "unixTime": 1652786848, "epoch": 0, "counter": 0, "numerics": false, "decorations": { "host_uuid": "dummy_host_uuid", "hostname": "dummyhostname" }, "columns": { "creation_time": "1637733429.23442", "failed_login_count": "0", "failed_login_timestamp": "0.0", "password_last_set_time": "1645164584.43137", "uid": "501" }, "action": "added" }
Referenz zur Feldzuordnung
In diesem Abschnitt wird beschrieben, wie der Google Security Operations-Parser osquery-Logfelder dem Unified Data Model (UDM) von Google Security Operations für das Schema und das Betriebssystem zuordnet. Weitere Informationen finden Sie im osquery-Schema für Version 5.2.3 und Version 5.3.0.
account_policy_data
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „account_policy_data“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „ad_config“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | about.labels.key/value (veraltet) additional.fields |
| Domain | target.administrative_domain |
| Option | about.labels.key (veraltet) additional.fields.key |
| Wert | about.labels.value (veraltet) additional.fields.value.string_value |
alf
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „alf“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| allow_signed_enabled | about.labels.key/value (veraltet) additional.fields |
| firewall_unload | about.labels.key/value (veraltet) additional.fields |
| global_state | about.labels.key/value (veraltet) additional.fields |
| logging_enabled | about.labels.key/value (veraltet) additional.fields |
| logging_option | about.labels.key/value (veraltet) additional.fields |
| stealth_enabled | about.labels.key/value (veraltet) additional.fields |
| Version | target.platform_version |
alf_exceptions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „alf_exceptions“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| state | about.labels.key/value (veraltet) additional.fields |
alf_explicit_auths
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „alf_explicit_auths“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| verarbeiten | target.process.pid |
app_schemes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „app_schemes“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| scheme | about.labels.key/value (veraltet) additional.fields |
| Handler | about.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| extern | about.labels.key/value (veraltet) additional.fields |
| geschützt | about.labels.key/value (veraltet) additional.fields |
apparmor_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „apparmor_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Nachricht | metadata.description |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| Profil | about.labels.key/value (veraltet) additional.fields |
| Name | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (veraltet) additional.fields |
| capname | about.labels.key/value (veraltet) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| Funktion | about.labels.key/value (veraltet) additional.fields |
| requested_mask | target.process.access_mask |
| Info | about.labels.key/value (veraltet) additional.fields |
| Fehler | security_result.summary |
| Namespace | about.labels.key/value (veraltet) additional.fields |
| Label | about.labels.key/value (veraltet) additional.fields |
apparmor_profiles
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „apparmor_profiles“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Name | target.resource.name |
| anhängen | about.labels.key/value (veraltet) additional.fields |
| Modus | about.labels.key/value (veraltet) additional.fields |
| sha1 | target.file.sha1 |
Apps
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für die Schema-Apps und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | target.application |
| Pfad | target.file.full_path |
| bundle_executable | about.labels.key/value (veraltet) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (veraltet) additional.fields |
| Umgebung | about.labels.key/value (veraltet) additional.fields |
| Element | about.labels.key/value (veraltet) additional.fields |
| Compiler | about.labels.key/value (veraltet) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (veraltet) additional.fields |
| info_string | about.labels.key/value (veraltet) additional.fields |
| minimum_system_version | about.labels.key/value (veraltet) additional.fields |
| Kategorie | about.labels.key/value (veraltet) additional.fields |
| applescript_enabled | about.labels.key/value (veraltet) additional.fields |
| Urheberrecht | about.labels.key/value (veraltet) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „asl“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| time_nano_sec | about.labels.key/value (veraltet) additional.fields |
| Host | target.hostname |
| sender | about.labels.key/value (veraltet) additional.fields |
| Einrichtung | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (veraltet) additional.fields |
| Nachricht | metadata.description |
| ref_pid | about.labels.key/value (veraltet) additional.fields |
| ref_proc | about.labels.key/value (veraltet) additional.fields |
| zusätzlich | about.labels.key/value (veraltet) additional.fields |
Authenticode
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „authenticode“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| original_program_name | about.labels.key/value (veraltet) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| Ergebnis | security_result.summary |
authorization_mechanisms
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „authorization_mechanisms“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Label | about.labels.key/value (veraltet) additional.fields |
| plugin | about.labels.key/value (veraltet) additional.fields |
| Mechanismus | about.labels.key/value (veraltet) additional.fields |
| privilegiert | about.labels.key/value (veraltet) additional.fields |
| Eintrag | about.labels.key/value (veraltet) additional.fields |
Autorisierungen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schema-Autorisierungen und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Label | about.labels.key/value (veraltet) additional.fields |
| geändert | about.labels.key/value (veraltet) additional.fields |
| allow_root | about.labels.key/value (veraltet) additional.fields |
| Zeitüberschreitung | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| Versuche | about.labels.key/value (veraltet) additional.fields |
| authenticate_user | about.labels.key/value (veraltet) additional.fields |
| freigegeben | about.labels.key/value (veraltet) additional.fields |
| Kommentar | about.labels.key/value (veraltet) additional.fields |
| erstellt | about.labels.key/value (veraltet) additional.fields |
| Klasse | about.labels.key/value (veraltet) additional.fields |
| session_owner | about.labels.key/value (veraltet) additional.fields |
autoexec
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „autoexec“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Name | target.application |
| source | target.resource.name |
bitlocker_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „bitlocker_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (veraltet) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| Version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „bpf_process_events“ und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| tid | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Übergeordnetes Element | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (veraltet) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| probe_error | about.labels.key/value (veraltet) additional.fields |
| syscall | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.process.file.full_path |
| cwd | about.labels.key/value (veraltet) additional.fields |
| cmdline | target.process.command_line |
| Dauer | about.labels.key/value (veraltet) additional.fields |
| json_cmdline | about.labels.key/value (veraltet) additional.fields |
| ntime | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „bpf_socket_events“ und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| tid | about.labels.key/value (veraltet) additional.fields |
| pid | principal.process.pid |
| Übergeordnetes Element | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (veraltet) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| probe_error | about.labels.key/value (veraltet) additional.fields |
| syscall | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| fd | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Dauer | about.labels.key/value (veraltet) additional.fields |
| ntime | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
Zertifikate
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für die Schemazertifikate und die Betriebssysteme macOS und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| common_name | about.labels.key/value (veraltet) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| Zertifizierungsstelle | about.labels.key/value (veraltet) additional.fields |
| self_signed | about.labels.key/value (veraltet) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (veraltet) additional.fields |
| key_algorithm | about.labels.key/value (veraltet) additional.fields |
| key_strength | about.labels.key/value (veraltet) additional.fields |
| key_usage | about.labels.key/value (veraltet) additional.fields |
| subject_key_id | about.labels.key/value (veraltet) additional.fields |
| authority_key_id | about.labels.key/value (veraltet) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| Pfad | about.labels.key/value (veraltet) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (veraltet) additional.fields |
| store_location | about.labels.key/value (veraltet) additional.fields |
| Speicher | about.labels.key/value (veraltet) additional.fields |
| Nutzername | principal.user.user_display_name |
| store_id | about.labels.key/value (veraltet) additional.fields |
chassis_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „chassis_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| audible_alarm | about.labels.key/value (veraltet) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (veraltet) additional.fields |
| description | metadata.description |
| schloss | about.labels.key/value (veraltet) additional.fields |
| Hersteller | principal.asset.hardware.manufacturer |
| Modell | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (veraltet) additional.fields |
| SKU | about.labels.key/value (veraltet) additional.fields |
| Status | about.labels.key/value (veraltet) additional.fields |
| visible_alarm | about.labels.key/value (veraltet) additional.fields |
chrome_extensions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „chrome_extensions“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| Name | target.resource.name |
| Profil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identifier | target.resource.attribute.labels.key/value |
| Version | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| Autor | target.resource.attribute.labels.key/value |
| nichtflüchtige | target.resource.attribute.labels.key/value |
| Pfad | target.file.full_path |
| Berechtigungen | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenziert | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| Schlüssel | target.resource.attribute.labels.key/value |
Verbindung
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für die Schemabereitschaft und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| nicht verbunden | about.labels.key/value (veraltet) additional.fields |
| ipv4_no_traffic | about.labels.key/value (veraltet) additional.fields |
| ipv6_no_traffic | about.labels.key/value (veraltet) additional.fields |
| ipv4_subnet | about.labels.key/value (veraltet) additional.fields |
| ipv4_local_network | about.labels.key/value (veraltet) additional.fields |
| ipv4_internet | about.labels.key/value (veraltet) additional.fields |
| ipv6_subnet | about.labels.key/value (veraltet) additional.fields |
| ipv6_local_network | about.labels.key/value (veraltet) additional.fields |
| ipv6_internet | about.labels.key/value (veraltet) additional.fields |
cpu_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „cpu_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| device_id | principal.asset.product_object_id |
| Modell | principal.asset.hardware.model |
| Hersteller | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (veraltet) additional.fields |
| Verfügbarkeit | about.labels.key/value (veraltet) additional.fields |
| cpu_status | about.labels.key/value (veraltet) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (veraltet) additional.fields |
| address_width | about.labels.key/value (veraltet) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (veraltet) additional.fields |
Abstürze
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für die Schemacrashes und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| crash_path | target.file.full_path |
| identifier | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| verantwortlich | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| Datum/Uhrzeit | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (veraltet) additional.fields |
| stack_trace | about.labels.key/value (veraltet) additional.fields |
| exception_type | about.labels.key/value (veraltet) additional.fields |
| exception_codes | about.labels.key/value (veraltet) additional.fields |
| exception_notes | about.labels.key/value (veraltet) additional.fields |
| registers | about.labels.key/value (veraltet) additional.fields |
crontab
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „crontab“ und die Betriebssysteme „Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| event | about.labels.key/value (veraltet) additional.fields |
| Minute | about.labels.key/value (veraltet) additional.fields |
| Stunde | about.labels.key/value (veraltet) additional.fields |
| day_of_month | about.labels.key/value (veraltet) additional.fields |
| Monat | about.labels.key/value (veraltet) additional.fields |
| day_of_week | about.labels.key/value (veraltet) additional.fields |
| Befehl | principal.process.command_line |
| Pfad | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
curl
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „curl“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| URL | network.http.referral_url |
| Methode | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| Byte | network.received_bytes |
| Ergebnis | about.labels.key/value (veraltet) additional.fields |
curl_certificate
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „curl_certificate“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Hostname | principal.hostname |
| common_name | about.labels.key/value (veraltet) additional.fields |
| Organisation | network.organization_name |
| organization_unit | about.labels.key/value (veraltet) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (veraltet) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (veraltet) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| Version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (veraltet) additional.fields |
| Signatur | about.labels.key/value (veraltet) additional.fields |
| subject_key_identifier | about.labels.key/value (veraltet) additional.fields |
| authority_key_identifier | about.labels.key/value (veraltet) additional.fields |
| key_usage | about.labels.key/value (veraltet) additional.fields |
| extended_key_usage | about.labels.key/value (veraltet) additional.fields |
| Richtlinien | about.labels.key/value (veraltet) additional.fields |
| subject_alternative_names | about.labels.key/value (veraltet) additional.fields |
| issuer_alternative_names | about.labels.key/value (veraltet) additional.fields |
| info_access | about.labels.key/value (veraltet) additional.fields |
| subject_info_access | about.labels.key/value (veraltet) additional.fields |
| policy_mappings | about.labels.key/value (veraltet) additional.fields |
| has_expired | about.labels.key/value (veraltet) additional.fields |
| basic_constraint | about.labels.key/value (veraltet) additional.fields |
| name_constraints | about.labels.key/value (veraltet) additional.fields |
| policy_constraints | about.labels.key/value (veraltet) additional.fields |
| dump_certificate | about.labels.key/value (veraltet) additional.fields |
| Zeitüberschreitung | about.labels.key/value (veraltet) additional.fields |
| pem | about.labels.key/value (veraltet) additional.fields |
device_file
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „device_file“ und die Betriebssysteme „Linux“, „macOS“, „freebsd“ und „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Gerät | about.labels.key/value (veraltet) additional.fields |
| Partition | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| filename | target.file.names |
| Inode | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Modus | about.labels.key/value (veraltet) additional.fields |
| Größe | target.file.size |
| block_size | about.labels.key/value (veraltet) additional.fields |
| atime | about.labels.key/value (veraltet) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (veraltet) additional.fields |
| hard_links | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (veraltet) additional.fields |
device_hash
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „device_hash“ und die Betriebssysteme „Linux“, „macOS“, „freebsd“ und „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Gerät | target.file.full_path |
| Partition | about.labels.key/value (veraltet) additional.fields |
| Inode | about.labels.key/value (veraltet) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „disk_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Partitionen | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| Typ | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (veraltet) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| Hersteller | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| Name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „dns_cache“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | network.dns.additional.name |
| Typ | about.labels.key/value (veraltet) additional.fields |
| flags | about.labels.key/value (veraltet) additional.fields |
dns_resolvers
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „dns_resolvers“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Adresse | principal.ip |
| netmask | about.labels.key/value (veraltet) additional.fields |
| Options | about.labels.key/value (veraltet) additional.fields |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
docker_container_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_container_networks“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.asset.product_object_id |
| Name | network.carrier_name |
| network_id | about.labels.key/value (veraltet) additional.fields |
| Endpunkt-ID | about.labels.key/value (veraltet) additional.fields |
| Gateway | about.labels.key/value (veraltet) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (veraltet) additional.fields |
| ipv6_gateway | about.labels.key/value (veraltet) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (veraltet) additional.fields |
| mac_address | target.mac |
docker_container_ports
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_container_ports“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.asset.product_object_id |
| Typ | network.ip_protocol |
| Port | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_container_processes“ und die Betriebssysteme „Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| Name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (veraltet) additional.fields |
| resident_size | about.labels.key/value (veraltet) additional.fields |
| total_size | about.labels.key/value (veraltet) additional.fields |
| start_time | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| pgroup | about.labels.key/value (veraltet) additional.fields |
| Threads | about.labels.key/value (veraltet) additional.fields |
| Nett | about.labels.key/value (veraltet) additional.fields |
| Nutzer | target.user.user_display_name |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| CPU | about.labels.key/value (veraltet) additional.fields |
| mem | about.labels.key/value (veraltet) additional.fields |
docker_container_stats
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_container_stats“ und das Betriebssystem „Linux“, „macOS“, „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| Name | target.resource.name |
| pids | about.labels.key/value (veraltet) additional.fields |
| read | about.labels.key/value (veraltet) additional.fields |
| preread | about.labels.key/value (veraltet) additional.fields |
| Intervall | about.labels.key/value (veraltet) additional.fields |
| disk_read | about.labels.key/value (veraltet) additional.fields |
| disk_write | about.labels.key/value (veraltet) additional.fields |
| num_procs | about.labels.key/value (veraltet) additional.fields |
| cpu_total_usage | about.labels.key/value (veraltet) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (veraltet) additional.fields |
| cpu_usermode_usage | about.labels.key/value (veraltet) additional.fields |
| system_cpu_usage | about.labels.key/value (veraltet) additional.fields |
| online_cpus | about.labels.key/value (veraltet) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (veraltet) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (veraltet) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (veraltet) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (veraltet) additional.fields |
| pre_online_cpus | about.labels.key/value (veraltet) additional.fields |
| memory_usage | about.labels.key/value (veraltet) additional.fields |
| memory_max_usage | about.labels.key/value (veraltet) additional.fields |
| memory_limit | about.labels.key/value (veraltet) additional.fields |
| network_rx_bytes | about.labels.key/value (veraltet) additional.fields |
| network_tx_bytes | about.labels.key/value (veraltet) additional.fields |
docker_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_info“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| Container | about.labels.key/value (veraltet) additional.fields |
| containers_running | about.labels.key/value (veraltet) additional.fields |
| containers_paused | about.labels.key/value (veraltet) additional.fields |
| containers_stopped | about.labels.key/value (veraltet) additional.fields |
| Bilder | about.labels.key/value (veraltet) additional.fields |
| storage_driver | about.labels.key/value (veraltet) additional.fields |
| memory_limit | about.labels.key/value (veraltet) additional.fields |
| swap_limit | about.labels.key/value (veraltet) additional.fields |
| kernel_memory | about.labels.key/value (veraltet) additional.fields |
| cpu_cfs_period | about.labels.key/value (veraltet) additional.fields |
| cpu_cfs_quota | about.labels.key/value (veraltet) additional.fields |
| cpu_shares | about.labels.key/value (veraltet) additional.fields |
| cpu_set | about.labels.key/value (veraltet) additional.fields |
| ipv4_forwarding | about.labels.key/value (veraltet) additional.fields |
| bridge_nf_iptables | about.labels.key/value (veraltet) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (veraltet) additional.fields |
| oom_kill_disable | about.labels.key/value (veraltet) additional.fields |
| logging_driver | about.labels.key/value (veraltet) additional.fields |
| cgroup_driver | about.labels.key/value (veraltet) additional.fields |
| kernel_version | about.labels.key/value (veraltet) additional.fields |
| os | about.labels.key/value (veraltet) additional.fields |
| os_type | target.platform(enum) |
| Architektur | about.labels.key/value (veraltet) additional.fields |
| cpus | about.labels.key/value (veraltet) additional.fields |
| Arbeitsspeicher | about.labels.key/value (veraltet) additional.fields |
| http_proxy | about.labels.key/value (veraltet) additional.fields |
| https_proxy | about.labels.key/value (veraltet) additional.fields |
| no_proxy | about.labels.key/value (veraltet) additional.fields |
| Name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_network_labels“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| Schlüssel | target.resource.attribute.labels.key/value |
| Wert | about.labels.key/value (veraltet) additional.fields |
docker_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „docker_networks“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| Name | about.labels.key/value (veraltet) additional.fields |
| Fahrer | about.labels.key/value (veraltet) additional.fields |
| erstellt | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (veraltet) additional.fields |
| Subnetz | about.labels.key/value (veraltet) additional.fields |
| Gateway | about.labels.key/value (veraltet) additional.fields |
ec2_instance_metadata
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „ec2_instance_metadata“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (veraltet) additional.fields |
| Architektur | about.labels.key/value (veraltet) additional.fields |
| Region | target.location.country_or_region |
| availability_zone | about.labels.key/value (veraltet) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (veraltet) additional.fields |
| iam_arn | about.labels.key/value (veraltet) additional.fields |
| ami_id | about.labels.key/value (veraltet) additional.fields |
| reservation_id | about.labels.key/value (veraltet) additional.fields |
| Die Konto-ID von Tinfoil Security | target.user.userid |
| ssh_public_key | about.labels.key/value (veraltet) additional.fields |
es_process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „es_process_events“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Version | target.platform_version |
| seq_num | about.labels.key/value (veraltet) additional.fields |
| global_seq_num | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| Übergeordnetes Element | target.process.parent_process.pid |
| original_parent | about.labels.key/value (veraltet) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (veraltet) additional.fields |
| env | about.labels.key/value (veraltet) additional.fields |
| env_count | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (veraltet) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| signing_id | about.labels.key/value (veraltet) additional.fields |
| team_id | about.labels.key/value (veraltet) additional.fields |
| cdhash | about.labels.key/value (veraltet) additional.fields |
| platform_binary | about.labels.key/value (veraltet) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| child_pid | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| event_type | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „etc_hosts“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Adresse | target.ip |
| Hostnamen | about.hostname |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
etc_protocols
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „etc_protocols“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | network.ip_protocol |
| Zahl | about.labels.key/value (veraltet) additional.fields |
| Alias | about.labels.key/value (veraltet) additional.fields |
| Kommentar | about.labels.key/value (veraltet) additional.fields |
etc_services
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „etc_services“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | target.resource.name |
| Port | target.port |
| Protokoll | network.ip_protocol |
| Aliasse | about.labels.key/value (veraltet) additional.fields |
| Kommentar | about.labels.key/value (veraltet) additional.fields |
Datei
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemadatei und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Verzeichnis | about.labels.key/value (veraltet) additional.fields |
| filename | target.file.names |
| Inode | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Modus | about.labels.key/value (veraltet) additional.fields |
| Gerät | target.asset.asset_id |
| Größe | target.file.size |
| block_size | about.labels.key/value (veraltet) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (veraltet) additional.fields |
| btime | about.labels.key/value (veraltet) additional.fields |
| hard_links | about.labels.key/value (veraltet) additional.fields |
| symlink | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Attribute | about.labels.key/value (veraltet) additional.fields |
| volume_serial | about.labels.key/value (veraltet) additional.fields |
| file_id | about.labels.key/value (veraltet) additional.fields |
| file_version | about.labels.key/value (veraltet) additional.fields |
| product_version | about.labels.key/value (veraltet) additional.fields |
| bsd_flags | about.labels.key/value (veraltet) additional.fields |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
| mount_namespace_id | about.labels.key/value (veraltet) additional.fields |
file_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „file_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| Ausführbar | about.labels.key/value (veraltet) additional.fields |
| Teilweise | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (veraltet) additional.fields |
| Pfad | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (veraltet) additional.fields |
| euid | about.labels.key/value (veraltet) additional.fields |
| egid | about.labels.key/value (veraltet) additional.fields |
| fsuid | about.labels.key/value (veraltet) additional.fields |
| fsgid | about.labels.key/value (veraltet) additional.fields |
| suid | about.labels.key/value (veraltet) additional.fields |
| sgid | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
Gatekeeper
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „Gatekeeper“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| assessments_enabled | about.labels.key/value (veraltet) additional.fields |
| dev_id_enabled | about.labels.key/value (veraltet) additional.fields |
| Version | target.asset.software.version |
| opaque_version | about.labels.key/value (veraltet) additional.fields |
gatekeeper_approved_apps
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „gatekeeper_approved_apps“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Anforderung | about.labels.key/value (veraltet) additional.fields |
| ctime | about.labels.key/value (veraltet) additional.fields |
| mtime | target.resource.attribute.last_update_time |
Gruppen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemagruppen und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| Kommentar | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „hardware_events“ und das Betriebssystem „Linux, macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Aktion | security_result.action_details |
| Pfad | target.asset.attribute.labels.key/value |
| Typ | target.asset.attribute.labels.key/value |
| Fahrer | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| Modell | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| Revision | target.asset.attribute.labels.key/value |
| Zeit | metadata.event_timestamp |
| eid | metadata.product_log_id |
Hash
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für den Schema-Hash und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Verzeichnis | about.labels.key/value (veraltet) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
| mount_namespace_id | about.labels.key/value (veraltet) additional.fields |
interface_addresses
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „interface_addresses“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| Adresse | target.ip |
| Maske | about.labels.key/value (veraltet) additional.fields |
| übertragen | about.labels.key/value (veraltet) additional.fields |
| point_to_point | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (veraltet) additional.fields |
| friendly_name | about.labels.key/value (veraltet) additional.fields |
interface_details
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „interface_details“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| mac | target.mac |
| Typ | about.labels.key/value (veraltet) additional.fields |
| mtu | about.labels.key/value (veraltet) additional.fields |
| Messwert | about.labels.key/value (veraltet) additional.fields |
| flags | about.labels.key/value (veraltet) additional.fields |
| ipackets | about.labels.key/value (veraltet) additional.fields |
| opackets | about.labels.key/value (veraltet) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value (veraltet) additional.fields |
| oerrors | about.labels.key/value (veraltet) additional.fields |
| idrops | about.labels.key/value (veraltet) additional.fields |
| odrops | about.labels.key/value (veraltet) additional.fields |
| Kollisionen | about.labels.key/value (veraltet) additional.fields |
| last_change | about.labels.key/value (veraltet) additional.fields |
| link_speed | about.labels.key/value (veraltet) additional.fields |
| pci_slot | about.labels.key/value (veraltet) additional.fields |
| friendly_name | about.labels.key/value (veraltet) additional.fields |
| description | about.labels.key/value (veraltet) additional.fields |
| Hersteller | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (veraltet) additional.fields |
| connection_status | about.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| physical_adapter | about.labels.key/value (veraltet) additional.fields |
| Geschwindigkeit | about.labels.key/value (veraltet) additional.fields |
| Dienst | target.application |
| dhcp_enabled | about.labels.key/value (veraltet) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (veraltet) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (veraltet) additional.fields |
| dns_host_name | about.labels.key/value (veraltet) additional.fields |
| dns_server_search_order | about.labels.key/value (veraltet) additional.fields |
interface_ipv6
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemaschnittstelle_ipv6 und das Betriebssystem Linux, macOS, FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| hop_limit | about.labels.key/value (veraltet) additional.fields |
| forwarding_enabled | about.labels.key/value (veraltet) additional.fields |
| redirect_accept | about.labels.key/value (veraltet) additional.fields |
| rtadv_accept | about.labels.key/value (veraltet) additional.fields |
iptables
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „iptables“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| filter_name | about.labels.key/value (veraltet) additional.fields |
| Kette | about.labels.key/value (veraltet) additional.fields |
| Richtlinie | about.labels.key/value (veraltet) additional.fields |
| Ziel | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (veraltet) additional.fields |
| iniface | about.labels.key/value (veraltet) additional.fields |
| iniface_mask | about.labels.key/value (veraltet) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (veraltet) additional.fields |
| outiface | about.labels.key/value (veraltet) additional.fields |
| outiface_mask | about.labels.key/value (veraltet) additional.fields |
| Übereinstimmung | about.labels.key/value (veraltet) additional.fields |
| Pakete | about.labels.key/value (veraltet) additional.fields |
| Byte | network.received_bytes |
kernel_panics
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „kernel_panics“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| registers | about.labels.key/value (veraltet) additional.fields |
| frame_backtrace | about.labels.key/value (veraltet) additional.fields |
| module_backtrace | about.labels.key/value (veraltet) additional.fields |
| Abhängigkeiten | about.labels.key/value (veraltet) additional.fields |
| Name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (veraltet) additional.fields |
| system_model | target.asset.hardware.model |
| uptime | about.labels.key/value (veraltet) additional.fields |
| last_loaded | about.labels.key/value (veraltet) additional.fields |
| last_unloaded | about.labels.key/value (veraltet) additional.fields |
keychain_acls
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „keychain_acls“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| keychain_path | about.labels.key/value (veraltet) additional.fields |
| Autorisierungen | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| description | metadata.description |
| Label | about.labels.key/value (veraltet) additional.fields |
known_hosts
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „known_hosts“ und das Betriebssystem „Linux“, „macOS“, „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | target.user.userid |
| Schlüssel | about.labels.key/value (veraltet) additional.fields |
| key_file | target.file.full_path |
letzten
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „last“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Nutzername | target.user.user_display_name |
| tty | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Typ | about.labels.key/value (veraltet) additional.fields |
| type_name | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| Host | target.hostname |
listening_ports
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „listening_ports“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| Port | target.port |
| Protokoll | network.ip_protocol |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Adresse | target.ip |
| fd | about.labels.key/value (veraltet) additional.fields |
| Socket | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.process.file.full_path |
| net_namespace | about.labels.key/value (veraltet) additional.fields |
logged_in_users
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „logged_in_users“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Nutzer | target.user.userid |
| tty | about.labels.key/value (veraltet) additional.fields |
| Host | target.hostname |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (veraltet) additional.fields |
| registry_hive | about.labels.key/value (veraltet) additional.fields |
logon_sessions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „logon_sessions“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| logon_id | about.labels.key/value (veraltet) additional.fields |
| Nutzer | target.user.user_display_name |
| logon_domain | about.labels.key/value (veraltet) additional.fields |
| authentication_package | about.labels.key/value (veraltet) additional.fields |
| logon_type | about.labels.key/value (veraltet) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (veraltet) additional.fields |
| logon_time | about.labels.key/value (veraltet) additional.fields |
| logon_server | about.labels.key/value (veraltet) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (veraltet) additional.fields |
| logon_script | about.labels.key/value (veraltet) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (veraltet) additional.fields |
| home_directory_drive | about.labels.key/value (veraltet) additional.fields |
lxd_certificates
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „lxd_certificates“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | security_result.detection_fields.key/value |
| Typ | security_result.detection_fields.key/value |
| Fingerprint | security_result.detection_fields.key/value |
| Zertifikat | security_result.detection_fields.key/value |
lxd_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „lxd_networks“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (veraltet) additional.fields |
| verwaltet | about.labels.key/value (veraltet) additional.fields |
| ipv4_address | about.labels.key/value (veraltet) additional.fields |
| ipv6_address | about.labels.key/value (veraltet) additional.fields |
| used_by | about.labels.key/value (veraltet) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (veraltet) additional.fields |
| packets_sent | about.labels.key/value (veraltet) additional.fields |
| hwaddr | about.labels.key/value (veraltet) additional.fields |
| state | about.labels.key/value (veraltet) additional.fields |
| mtu | about.labels.key/value (veraltet) additional.fields |
managed_policies
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „managed_policies“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Domain | target.administrative_domain |
| uuid | about.labels.key/value (veraltet) additional.fields |
| Name | about.labels.key/value (veraltet) additional.fields |
| Wert | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| Manuell | about.labels.key/value (veraltet) additional.fields |
memory_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „memory_devices“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Handle (der) | about.labels.key/value (veraltet) additional.fields |
| array_handle | about.labels.key/value (veraltet) additional.fields |
| form_factor | about.labels.key/value (veraltet) additional.fields |
| total_width | about.labels.key/value (veraltet) additional.fields |
| data_width | about.labels.key/value (veraltet) additional.fields |
| Größe | about.labels.key/value (veraltet) additional.fields |
| set | about.labels.key/value (veraltet) additional.fields |
| device_locator | about.labels.key/value (veraltet) additional.fields |
| bank_locator | about.labels.key/value (veraltet) additional.fields |
| memory_type | about.labels.key/value (veraltet) additional.fields |
| memory_type_details | about.labels.key/value (veraltet) additional.fields |
| max_speed | about.labels.key/value (veraltet) additional.fields |
| configured_clock_speed | about.labels.key/value (veraltet) additional.fields |
| Hersteller | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (veraltet) additional.fields |
| min_voltage | about.labels.key/value (veraltet) additional.fields |
| max_voltage | about.labels.key/value (veraltet) additional.fields |
| configured_voltage | about.labels.key/value (veraltet) additional.fields |
ntdomains
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „ntdomains“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | about.labels.key/value (veraltet) additional.fields |
| client_site_name | about.labels.key/value (veraltet) additional.fields |
| dc_site_name | about.labels.key/value (veraltet) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (veraltet) additional.fields |
| domain_name | target.administrative_domain |
| Status | about.labels.key/value (veraltet) additional.fields |
ntfs_acl_permissions
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „ntfs_acl_permissions“ und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Hauptkonto | about.labels.key/value (veraltet) additional.fields |
| Zugriff | about.labels.key/value (veraltet) additional.fields |
| inherited_from | about.labels.key/value (veraltet) additional.fields |
os_version
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „os_version“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | about.labels.key/value (veraltet) additional.fields |
| Version | principal.platform_version |
| wichtig | about.labels.key/value (veraltet) additional.fields |
| geringfügig | about.labels.key/value (veraltet) additional.fields |
| patch | principal.platform_patch_level |
| Build | about.labels.key/value (veraltet) additional.fields |
| Plattform | principal.platform |
| platform_like | about.labels.key/value (veraltet) additional.fields |
| Codename | about.labels.key/value (veraltet) additional.fields |
| arch | about.labels.key/value (veraltet) additional.fields |
| install_date | about.labels.key/value (veraltet) additional.fields |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
| mount_namespace_id | about.labels.key/value (veraltet) additional.fields |
osquery_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „osquery_events“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | target.resource.name |
| Publisher | about.label.key/value |
| Typ | about.label.key/value |
| Abos | about.label.key/value |
| ansehen | about.label.key/value |
| Aktualisierungen | about.label.key/value |
| Aktiv | about.label.key/value |
Patches
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemapatches und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (veraltet) additional.fields |
| Untertitel | about.labels.key/value (veraltet) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (veraltet) additional.fields |
| installed_by | about.labels.key/value (veraltet) additional.fields |
| install_date | about.labels.key/value (veraltet) additional.fields |
| installed_on | about.labels.key/value (veraltet) additional.fields |
pci_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „pci_devices“ und die Betriebssysteme „Linux“ und „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pci_slot | principal.labels.key/value (verworfen) additional.fields |
| pci_class | principal.labels.key/value (verworfen) additional.fields |
| Fahrer | principal.labels.key/value (verworfen) additional.fields |
| vendor | principal.labels.key/value (verworfen) additional.fields |
| vendor_id | principal.labels.key/value (verworfen) additional.fields |
| Modell | principal.asset.hardware.model |
| model_id | principal.labels.key/value (verworfen) additional.fields |
| Subsystem | principal.labels.key/value (verworfen) additional.fields |
| Express | principal.labels.key/value (verworfen) additional.fields |
| Thunderbolt | principal.labels.key/value (verworfen) additional.fields |
| entfernbar | principal.labels.key/value (verworfen) additional.fields |
| pci_class_id | principal.labels.key/value (verworfen) additional.fields |
| pci_subclass_id | principal.labels.key/value (verworfen) additional.fields |
| pci_subclass | principal.labels.key/value (verworfen) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (verworfen) additional.fields |
| subsystem_vendor | principal.labels.key/value (verworfen) additional.fields |
| subsystem_model_id | principal.labels.key/value (verworfen) additional.fields |
| subsystem_model | principal.labels.key/value (verworfen) additional.fields |
Rohre
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemapipes und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| Name | target.resource.name |
| Instanzen | about.labels.key/value (veraltet) additional.fields |
| max_instances | about.labels.key/value (veraltet) additional.fields |
| flags | about.labels.key/value (veraltet) additional.fields |
powershell_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „powershell_events“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Zeit | metadata.collected_timestamp |
| Datum/Uhrzeit | about.labels.key/value (veraltet) additional.fields |
| script_block_id | about.labels.key/value (veraltet) additional.fields |
| script_block_count | about.labels.key/value (veraltet) additional.fields |
| script_text | about.labels.key/value (veraltet) additional.fields |
| script_name | about.labels.key/value (veraltet) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (veraltet) additional.fields |
process_envs
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „process_envs“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| Schlüssel | about.labels.key |
| Wert | about.labels.value |
process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „process_events“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Version | target.platform_version |
| seq_num | about.labels.key/value (veraltet) additional.fields |
| global_seq_num | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Pfad | target.file.full_path |
| Übergeordnetes Element | target.process.parent_process.pid |
| original_parent | about.labels.key/value (veraltet) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (veraltet) additional.fields |
| env | about.labels.key/value (veraltet) additional.fields |
| env_count | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (veraltet) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| signing_id | about.labels.key/value (veraltet) additional.fields |
| team_id | about.labels.key/value (veraltet) additional.fields |
| cdhash | about.labels.key/value (veraltet) additional.fields |
| platform_binary | about.labels.key/value (veraltet) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| child_pid | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| event_type | about.labels.key/value (veraltet) additional.fields |
| eid | about.labels.key/value (veraltet) additional.fields |
process_file_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „process_file_events“ und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| Ausführbar | about.labels.key/value (veraltet) additional.fields |
| Teilweise | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| dest_path | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (veraltet) additional.fields |
| euid | about.labels.key/value (veraltet) additional.fields |
| egid | about.labels.key/value (veraltet) additional.fields |
| fsuid | about.labels.key/value (veraltet) additional.fields |
| fsgid | about.labels.key/value (veraltet) additional.fields |
| suid | about.labels.key/value (veraltet) additional.fields |
| sgid | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „process_open_sockets“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | principal.process.pid |
| fd | about.labels.key/value (veraltet) additional.fields |
| Socket | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Pfad | target.file.full_path |
| state | about.labels.key/value (veraltet) additional.fields |
| net_namespace | about.labels.key/value (veraltet) additional.fields |
Verfahren
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für die Schemaprozesse und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| Name | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (veraltet) additional.fields |
| root | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (veraltet) additional.fields |
| egid | about.labels.key/value (veraltet) additional.fields |
| suid | about.labels.key/value (veraltet) additional.fields |
| sgid | about.labels.key/value (veraltet) additional.fields |
| on_disk | about.labels.key/value (veraltet) additional.fields |
| wired_size | about.labels.key/value (veraltet) additional.fields |
| resident_size | about.labels.key/value (veraltet) additional.fields |
| total_size | about.labels.key/value (veraltet) additional.fields |
| user_time | about.labels.key/value (veraltet) additional.fields |
| system_time | about.labels.key/value (veraltet) additional.fields |
| disk_bytes_read | about.labels.key/value (veraltet) additional.fields |
| disk_bytes_written | about.labels.key/value (veraltet) additional.fields |
| start_time | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| pgroup | about.labels.key/value (veraltet) additional.fields |
| Threads | about.labels.key/value (veraltet) additional.fields |
| Nett | about.labels.key/value (veraltet) additional.fields |
| elevated_token | about.labels.key/value (veraltet) additional.fields |
| secure_process | about.labels.key/value (veraltet) additional.fields |
| protection_type | about.labels.key/value (veraltet) additional.fields |
| virtual_process | about.labels.key/value (veraltet) additional.fields |
| elapsed_time | about.labels.key/value (veraltet) additional.fields |
| handle_count | about.labels.key/value (veraltet) additional.fields |
| percent_processor_time | about.labels.key/value (veraltet) additional.fields |
| upid | about.labels.key/value (veraltet) additional.fields |
| uppid | about.labels.key/value (veraltet) additional.fields |
| cpu_type | about.labels.key/value (veraltet) additional.fields |
| cpu_subtype | about.labels.key/value (veraltet) additional.fields |
Programme
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemaprogramme und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | target.resource.name |
| Version | target.platform_version |
| install_location | about.labels.key/value (veraltet) additional.fields |
| install_source | about.labels.key/value (veraltet) additional.fields |
| Sprache | about.labels.key/value (veraltet) additional.fields |
| Publisher | about.labels.key/value (veraltet) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (veraltet) additional.fields |
| identifying_number | about.labels.key/value (veraltet) additional.fields |
scheduled_tasks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „scheduled_tasks“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | target.resource.name |
| Aktion | security_result.action_details |
| Pfad | target.file.full_path |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| state | about.labels.key/value (veraltet) additional.fields |
| hidden | about.labels.key/value (veraltet) additional.fields |
| last_run_time | about.labels.key/value (veraltet) additional.fields |
| next_run_time | about.labels.key/value (veraltet) additional.fields |
| last_run_message | about.labels.key/value (veraltet) additional.fields |
| last_run_code | about.labels.key/value (veraltet) additional.fields |
seccomp_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „seccomp_events“ und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| auid | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (veraltet) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (veraltet) additional.fields |
| arch | about.labels.key/value (veraltet) additional.fields |
| syscall | about.labels.key/value (veraltet) additional.fields |
| compat | about.labels.key/value (veraltet) additional.fields |
| ip | about.labels.key/value (veraltet) additional.fields |
| Code | about.labels.key/value (veraltet) additional.fields |
seLinux_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „seLinux_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Nachricht | metadata.description |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
shadow
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „Shadow“ und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| password_status | about.labels.key/value (veraltet) additional.fields |
| hash_alg | about.labels.key/value (veraltet) additional.fields |
| last_change | about.labels.key/value (veraltet) additional.fields |
| Min. | about.labels.key/value (veraltet) additional.fields |
| max | about.labels.key/value (veraltet) additional.fields |
| Warnung | about.labels.key/value (veraltet) additional.fields |
| inaktiv | about.labels.key/value (veraltet) additional.fields |
| ablaufen | about.labels.key/value (veraltet) additional.fields |
| Flag | about.labels.key/value (veraltet) additional.fields |
| Nutzername | principal.user.user_display_name |
shell_history
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „shell_history“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| Befehl | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „shimcache“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Eintrag | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (veraltet) additional.fields |
Signatur
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für die Schemasignatur und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| hash_resources | about.labels.key/value (veraltet) additional.fields |
| arch | about.labels.key/value (veraltet) additional.fields |
| signiert | target.file.pe_file.signature_info.verified |
| identifier | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (veraltet) additional.fields |
| team_identifier | about.labels.key/value (veraltet) additional.fields |
| authority | about.labels.key/value (veraltet) additional.fields |
sip_config
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „sip_config“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| config_flag | about.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| enabled_nvram | about.labels.key/value (veraltet) additional.fields |
socket_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „socket_events“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Aktion | security_result.action_details |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| fd | about.labels.key/value (veraltet) additional.fields |
| auid | target.user.userid |
| Status | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Socket | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
| Erfolgreich | about.labels.key/value (veraltet) additional.fields |
sudoers
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „sudoers“ und das Betriebssystem „Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| source | about.labels.key/value (veraltet) additional.fields |
| Header | about.labels.key/value (veraltet) additional.fields |
| rule_details | about.labels.key/value (veraltet) additional.fields |
syslog_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „syslog_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| Datum/Uhrzeit | about.labels.key/value (veraltet) additional.fields |
| Host | target.hostname |
| die Ausprägung | security_result.severity (Aufzählung) |
| Einrichtung | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nachricht | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
system_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „system_info“ und die Betriebssysteme „macOS“, „Linux“, „Windows“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Hostname | principal.administrative_domain |
| uuid | about.labels.key/value (veraltet) additional.fields |
| cpu_type | about.labels.key/value (veraltet) additional.fields |
| cpu_subtype | about.labels.key/value (veraltet) additional.fields |
| cpu_brand | about.labels.key/value (veraltet) additional.fields |
| cpu_physical_cores | about.labels.key/value (veraltet) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (veraltet) additional.fields |
| physical_memory | about.labels.key/value (veraltet) additional.fields |
| hardware_vendor | about.labels.key/value (veraltet) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (veraltet) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (veraltet) additional.fields |
| board_model | about.labels.key/value (veraltet) additional.fields |
| board_version | about.labels.key/value (veraltet) additional.fields |
| board_serial | about.labels.key/value (veraltet) additional.fields |
| computer_name | about.labels.key/value (veraltet) additional.fields |
| local_hostname | about.labels.key/value (veraltet) additional.fields |
tpm_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „tpm_info“ und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Aktiviert | about.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| Eigentümer | about.labels.key/value (veraltet) additional.fields |
| manufacturer_version | about.labels.key/value (veraltet) additional.fields |
| manufacturer_id | about.labels.key/value (veraltet) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (veraltet) additional.fields |
| spec_version | about.labels.key/value (veraltet) additional.fields |
usb_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „usb_devices“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| usb_address | about.labels.key/value (veraltet) additional.fields |
| usb_port | about.labels.key/value (veraltet) additional.fields |
| vendor | about.labels.key/value (veraltet) additional.fields |
| vendor_id | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| Modell | target.asset.hardware.model |
| model_id | about.labels.key/value (veraltet) additional.fields |
| serial | target.asset.hardware.serial_number |
| Klasse | about.labels.key/value (veraltet) additional.fields |
| abgeleitete Klasse | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| entfernbar | about.labels.key/value (veraltet) additional.fields |
user_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „user_events“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| Nachricht | metadata.description |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| Adresse | about.labels.key/value (veraltet) additional.fields |
| Terminal | about.labels.key/value (veraltet) additional.fields |
| Zeit | metadata.collected_timestamp |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
user_groups
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „user_groups“ und die Betriebssysteme Linux, macOS und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
Nutzer
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemanutzer und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (veraltet) additional.fields |
| gid_signed | about.labels.key/value (veraltet) additional.fields |
| Nutzername | principal.user.user_display_name |
| description | about.labels.key/value (veraltet) additional.fields |
| Verzeichnis | about.labels.key/value (veraltet) additional.fields |
| shell | about.labels.key/value (veraltet) additional.fields |
| uuid | principal.user.product_object_id |
| Typ | about.labels.key/value (veraltet) additional.fields |
| is_hidden | about.labels.key/value (veraltet) additional.fields |
| pid_with_namespace | about.labels.key/value (veraltet) additional.fields |
wifi_networks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „wifi_networks“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| ssid | target.labels.key/value (veraltet) additional.fields |
| network_name | target.labels.key/value (veraltet) additional.fields |
| security_type | target.labels.key/value (veraltet) additional.fields |
| last_connected | about.labels.key/value (veraltet) additional.fields |
| Passpoint | about.labels.key/value (veraltet) additional.fields |
| possibly_hidden | about.labels.key/value (veraltet) additional.fields |
| Roaming | about.labels.key/value (veraltet) additional.fields |
| roaming_profile | about.labels.key/value (veraltet) additional.fields |
| captive_portal | about.labels.key/value (veraltet) additional.fields |
| auto_login | target.labels.key/value (veraltet) additional.fields |
| temporarily_disabled | target.labels.key/value (veraltet) additional.fields |
| deaktiviert | target.labels.key/value (veraltet) additional.fields |
windows_crashes
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „Windows_crashes“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Datum/Uhrzeit | about.labels.key/value (veraltet) additional.fields |
| module | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| process_uptime | about.labels.key/value (veraltet) additional.fields |
| stack_trace | about.labels.key/value (veraltet) additional.fields |
| exception_code | about.labels.key/value (veraltet) additional.fields |
| exception_message | about.labels.key/value (veraltet) additional.fields |
| exception_address | about.labels.key/value (veraltet) additional.fields |
| registers | about.labels.key/value (veraltet) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| machine_name | about.labels.key/value (veraltet) additional.fields |
| major_version | about.labels.key/value (veraltet) additional.fields |
| minor_version | about.labels.key/value (veraltet) additional.fields |
| build_number | target.platform_version |
| Typ | about.labels.key/value (veraltet) additional.fields |
| crash_path | about.labels.key/value (veraltet) additional.fields |
windows_eventlog
Der Parser für Windows-Ereignisse (WINEVTLOG) ordnet diese Ereignisse zu. Weitere Informationen finden Sie unter Microsoft Windows-Ereignisdaten erfassen.“
windows_events
Der Parser für Windows-Ereignisse (WINEVTLOG) ordnet diese Ereignisse zu. Weitere Informationen finden Sie unter Microsoft Windows-Ereignisdaten erfassen.
windows_firewall_rules
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „Windows_firewall_rules“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | about.labels.key/value (veraltet) additional.fields |
| app_name | target.application |
| Aktion | security_result.action (Enum) |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| Gruppierung | about.labels.key/value (veraltet) additional.fields |
| direction | network.direction |
| Protokoll | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (veraltet) additional.fields |
| profile_domain | about.labels.key/value (veraltet) additional.fields |
| profile_private | about.labels.key/value (veraltet) additional.fields |
| profile_public | about.labels.key/value (veraltet) additional.fields |
| service_name | about.labels.key/value (veraltet) additional.fields |
windows_security_center
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_security_center“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Firewall | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| Antivirenprogramm | security_result.detection_fields.key/value |
| Antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „Windows_security_products“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (veraltet) additional.fields |
| Name | target.resource.name |
| state | about.labels.key/value (veraltet) additional.fields |
| state_timestamp | about.labels.key/value (veraltet) additional.fields |
| remediation_path | about.labels.key/value (veraltet) additional.fields |
| signatures_up_to_date | about.labels.key/value (veraltet) additional.fields |
wmi_bios_info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „wmi_bios_info“ und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Name | about.labels.key/value (veraltet) additional.fields |
| Wert | about.labels.key/value (veraltet) additional.fields |
yara
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuweisungen für das Schema „yara“ und die Betriebssysteme „Linux“, „macOS“, „freebsd“ und „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| stimmt überein mit | about.labels.key/value (veraltet) additional.fields |
| Anzahl | about.labels.key/value (veraltet) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| Strings | about.labels.key/value (veraltet) additional.fields |
| Tags | about.labels.key/value (veraltet) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuweisungen für das Schema „yara_events“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| target_path | target.file.full_path |
| Kategorie | about.labels.key/value (veraltet) additional.fields |
| Aktion | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| stimmt überein mit | about.labels.key/value (veraltet) additional.fields |
| Anzahl | about.labels.key/value (veraltet) additional.fields |
| Strings | about.labels.key/value (veraltet) additional.fields |
| Tags | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten