Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di osquery

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log di osquery configurando osquery e un forwarder Google Security Operations. Questo documento elenca anche i tipi di log supportati e le versioni di osquery supportate.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Panoramica

Il seguente diagramma dell'architettura di deployment mostra come gli agent osquery e il server Fleet sono configurati per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa.

Architettura di deployment

Il diagramma dell'architettura mostra i seguenti componenti:

Sistema Linux: il sistema Linux da monitorare in cui è installato l'agente osquery
Sistema Microsoft Windows: il sistema Microsoft Windows da monitorare in cui è installato l'agente osquery
Sistema Mac: il sistema Mac da monitorare in cui è installato l'agente osquery
Agente osquery: raccoglie informazioni dal sistema Microsoft Windows, Linux o Mac e le inoltra al server Fleet
Server del parco risorse: monitora e riceve informazioni dagli agenti osquery, analizza i log e li inoltra al forwarder di Google Security Operations
Agente Bindplane: l'agente Bindplane recupera i log da osquery e li invia a Google SecOps.
Forwarder Google Security Operations: un componente software leggero distribuito nella rete del cliente per inoltrare i log a Google Security Operations
Google Security Operations: conserva e analizza i log del server Fleet

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione OSQUERY_EDR.

Prima di iniziare

Installa Fleet Server. Per installare Fleet Server:
- Configurare un host.
- Installa il server Fleet.
Utilizza una versione di osquery supportata dal parser di Google Security Operations, ovvero 5.2.3 e 5.3.0.
Verifica che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Verifica che i nomi delle tabelle in Fleet siano conformi alla documentazione ufficiale di Fleet.

Configurare l'agente osquery, il server e il forwarder di Google Security Operations

Per configurare il server Fleet e il forwarder di Google Security Operations:

Per configurare il server Fleet:
Aggiungi host a Fleet Server e installa l'agente osquery. Puoi aggiungere l'host al server Fleet con un programma di installazione osquery. Il server fleet aiuta a generare un programma di installazione di osquery con il comando del pacchetto fleetctl.
1. Esegui il comando del pacchetto fleetctl installando lo strumento a riga di comando fleetctl.
2. Installa l'agente osquery utilizzando il comando del pacchetto fleetctl.
Quando installi il programma di installazione osquery generato su un host, quest'ultimo viene registrato automaticamente nell'istanza Fleet specificata.
Recupera i log dall'agente osquery. Per creare una query in Fleet per recuperare i log, vedi Creare una query e per pianificare una query, vedi Pianificare una query.
Configura il forwarder Google Security Operations su un dispositivo Linux centrale per inviare i log al sistema Google Security Operations. Per ulteriori informazioni, visita la pagina Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione dell'agente di inoltro Google SecOps:
```
  - file:
      common:
        enabled: true
        data_type: OSQUERY_EDR
        data_hint:
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      skip_seek_to_end: true
      file_path: <log_file_path>
      filter:
```
Nota: gli alias di tabelle e colonne non sono supportati dal parser osquery.

Inoltrare i log a Google SecOps utilizzando l'agente Bindplane

Installa e configura una macchina virtuale Linux.
Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per saperne di più su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Formati dei log osquery supportati

Il parser osquery supporta i log in formato JSON.

Log di esempio di osquery supportati

JSON:

{
  "name": "account_policy_data",
  "hostIdentifier": "dummyhostidentifier",
  "calendarTime": "Tue May 17 11:27:28 2022 UTC",
  "unixTime": 1652786848,
  "epoch": 0,
  "counter": 0,
  "numerics": false,
  "decorations": {
    "host_uuid": "dummy_host_uuid",
    "hostname": "dummyhostname"
  },
  "columns": {
    "creation_time": "1637733429.23442",
    "failed_login_count": "0",
    "failed_login_timestamp": "0.0",
    "password_last_set_time": "1645164584.43137",
    "uid": "501"
  },
  "action": "added"
}

Riferimento alla mappatura dei campi

Questa sezione spiega come il parser Google Security Operations mappa i campi dei log osquery ai campi Unified Data Model (UDM) di Google Security Operations per lo schema e il sistema operativo. Per ulteriori informazioni, consulta lo schema osquery per la versione 5.2.3 e la versione 5.3.0.

account_policy_data

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per l'account schema_policy_data e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
uid	principal.user.userid
creation_time	principal.user.attribute.creation_time
failed_login_count	principal.user.attribute.labels.key/value
failed_login_timestamp	principal.user.attribute.labels.key/value
password_last_set_time	principal.user.attribute.labels.key/value

ad_config

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema ad_config e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	about.labels.key/value (deprecato) additional.fields
dominio	target.administrative_domain
opzione	about.labels.key (deprecato) additional.fields.key
valore	about.labels.value (deprecata) additional.fields.value.string_value

alf

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema alf e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
allow_signed_enabled	about.labels.key/value (deprecato) additional.fields
firewall_unload	about.labels.key/value (deprecato) additional.fields
global_state	about.labels.key/value (deprecato) additional.fields
logging_enabled	about.labels.key/value (deprecato) additional.fields
logging_option	about.labels.key/value (deprecato) additional.fields
stealth_enabled	about.labels.key/value (deprecato) additional.fields
versione	target.platform_version

alf_exceptions

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema alf_exceptions e il sistema operativo macOS:

Campo log

Mappatura UDM

metadata.event_type è mappato a SETTING_MODIFICATION

percorso

target.file.full_path

state

about.labels.key/value (deprecato)

additional.fields

alf_explicit_auths

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema alf_explicit_auths e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
di diffusione	target.process.pid

app_schemes

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema app_schemes e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
schema	about.labels.key/value (deprecato) additional.fields
handler	about.labels.key/value (deprecato) additional.fields
abilitato	about.labels.key/value (deprecato) additional.fields
esterno	about.labels.key/value (deprecato) additional.fields
protetto	about.labels.key/value (deprecato) additional.fields

apparmor_events

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema apparmor_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tipo	about.labels.key/value (deprecato) additional.fields
messaggio	metadata.description
tempo	about.labels.key/value (deprecato) additional.fields
uptime	about.labels.key/value (deprecato) additional.fields
eid	security_result.rule_id
apparmor	security_result.action
operazione	about.labels.key/value (deprecato) additional.fields
principale	target.process.parent_process.pid
profilo	about.labels.key/value (deprecato) additional.fields
nome	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
comm	target.process.command_line
denied_mask	about.labels.key/value (deprecato) additional.fields
capname	about.labels.key/value (deprecato) additional.fields
fsuid	target.user.attribute.labels.key/value
ouid	target.user.attribute.labels.key/value
capacità	about.labels.key/value (deprecato) additional.fields
requested_mask	target.process.access_mask
info	about.labels.key/value (deprecato) additional.fields
errore	security_result.summary
spazio dei nomi	about.labels.key/value (deprecato) additional.fields
etichetta	about.labels.key/value (deprecato) additional.fields

apparmor_profiles

La seguente tabella elenca i campi dei log e i mapping UDM corrispondenti per lo schema apparmor_profiles e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
nome	target.resource.name
collegare	about.labels.key/value (deprecato) additional.fields
modalità	about.labels.key/value (deprecato) additional.fields
sha1	target.file.sha1

app

La seguente tabella elenca i campi dei log e i mapping UDM corrispondenti per le app dello schema e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	target.application
percorso	target.file.full_path
bundle_executable	about.labels.key/value (deprecato) additional.fields
bundle_identifier	target.resource.product_object_id
bundle_name	target.resource.name
bundle_short_version	target.resource.attribute.labels.key/value
bundle_version	target.resource.attribute.labels.key/value
bundle_package_type	about.labels.key/value (deprecato) additional.fields
produzione	about.labels.key/value (deprecato) additional.fields
elemento	about.labels.key/value (deprecato) additional.fields
compilatore	about.labels.key/value (deprecato) additional.fields
development_region	about.location.country_or_region
display_name	about.labels.key/value (deprecato) additional.fields
info_string	about.labels.key/value (deprecato) additional.fields
minimum_system_version	about.labels.key/value (deprecato) additional.fields
categoria	about.labels.key/value (deprecato) additional.fields
applescript_enabled	about.labels.key/value (deprecato) additional.fields
copyright	about.labels.key/value (deprecato) additional.fields
last_opened_time	target.file.last_seen_time

asl

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema asl e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tempo	about.labels.key/value (deprecato) additional.fields
time_nano_sec	about.labels.key/value (deprecato) additional.fields
host	target.hostname
mittente	about.labels.key/value (deprecato) additional.fields
struttura	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
gid	target.user.group_identifiers
uid	target.user.userid
livello	about.labels.key/value (deprecato) additional.fields
messaggio	metadata.description
ref_pid	about.labels.key/value (deprecato) additional.fields
ref_proc	about.labels.key/value (deprecato) additional.fields
extra	about.labels.key/value (deprecato) additional.fields

Authenticode

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema authenticode e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
original_program_name	about.labels.key/value (deprecato) additional.fields
serial_number	network.tls.client.certificate.serial
issuer_name	network.tls.client.certificate.issuer
subject_name	network.tls.client.certificate.subject
result	security_result.summary

authorization_mechanisms

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema authorization_mechanisms e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
etichetta	about.labels.key/value (deprecato) additional.fields
plugin	about.labels.key/value (deprecato) additional.fields
meccanismo	about.labels.key/value (deprecato) additional.fields
con privilegi	about.labels.key/value (deprecato) additional.fields
entry	about.labels.key/value (deprecato) additional.fields

autorizzazioni

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per le autorizzazioni dello schema e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
etichetta	about.labels.key/value (deprecato) additional.fields
modificato	about.labels.key/value (deprecato) additional.fields
allow_root	about.labels.key/value (deprecato) additional.fields
timeout	about.labels.key/value (deprecato) additional.fields
versione	about.labels.key/value (deprecato) additional.fields
tentativi	about.labels.key/value (deprecato) additional.fields
authenticate_user	about.labels.key/value (deprecato) additional.fields
condiviso	about.labels.key/value (deprecato) additional.fields
commento	about.labels.key/value (deprecato) additional.fields
creato	about.labels.key/value (deprecato) additional.fields
classe	about.labels.key/value (deprecato) additional.fields
session_owner	about.labels.key/value (deprecato) additional.fields

autoexec

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema autoexec e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
nome	target.application
origine	target.resource.name

bitlocker_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema bitlocker_info e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
device_id	target.resource.product_object_id
drive_letter	target.resource.name
persistent_volume_id	about.labels.key/value (deprecato) additional.fields
conversion_status	target.resource.attirbute.labels.key/value
protection_status	target.resource.attirbute.labels.key/value
encryption_method	target.resource.attirbute.labels.key/value
versione	metadata.product_version
percentage_encrypted	target.resource.attirbute.labels.key/value
lock_status	target.resource.attirbute.labels.key/value

bpf_process_events

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema bpf_process_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tid	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
principale	target.process.parent_process.pid
uid	principal.user.userid
gid	principal.group.product_object_id
cid	about.labels.key/value (deprecato) additional.fields
exit_code	about.labels.key/value (deprecato) additional.fields
probe_error	about.labels.key/value (deprecato) additional.fields
syscall	about.labels.key/value (deprecato) additional.fields
percorso	target.process.file.full_path
cwd	about.labels.key/value (deprecato) additional.fields
cmdline	target.process.command_line
duration	about.labels.key/value (deprecato) additional.fields
json_cmdline	about.labels.key/value (deprecato) additional.fields
ntime	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

bpf_socket_events

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema bpf_socket_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tid	about.labels.key/value (deprecato) additional.fields
pid	principal.process.pid
principale	principal.process.parent_process.pid
uid	principal.user.userid
gid	principal.group.product_object_id
cid	about.labels.key/value (deprecato) additional.fields
exit_code	about.labels.key/value (deprecato) additional.fields
probe_error	about.labels.key/value (deprecato) additional.fields
syscall	about.labels.key/value (deprecato) additional.fields
percorso	target.file.full_path
fd	about.labels.key/value (deprecato) additional.fields
famiglia	about.labels.key/value (deprecato) additional.fields
tipo	about.labels.key/value (deprecato) additional.fields
protocollo	about.labels.key/value (deprecato) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
duration	about.labels.key/value (deprecato) additional.fields
ntime	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

certificati

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per i certificati dello schema e i sistemi operativi macOS e Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
common_name	about.labels.key/value (deprecato) additional.fields
subject	network.tls.client.certificate.subject
issuer	network.tls.client.certificate.issuer
ca	about.labels.key/value (deprecato) additional.fields
self_signed	about.labels.key/value (deprecato) additional.fields
not_valid_before	network.tls.client.certificate.not_before
not_valid_after	network.tls.client.certificate.not_after
signing_algorithm	about.labels.key/value (deprecato) additional.fields
key_algorithm	about.labels.key/value (deprecato) additional.fields
key_strength	about.labels.key/value (deprecato) additional.fields
key_usage	about.labels.key/value (deprecato) additional.fields
subject_key_id	about.labels.key/value (deprecato) additional.fields
authority_key_id	about.labels.key/value (deprecato) additional.fields
sha1	network.tls.client.certificate.sha1
percorso	about.labels.key/value (deprecato) additional.fields
serial	network.tls.client.certificate.serial
sid	about.labels.key/value (deprecato) additional.fields
store_location	about.labels.key/value (deprecato) additional.fields
datastore	about.labels.key/value (deprecato) additional.fields
nome utente	principal.user.user_display_name
store_id	about.labels.key/value (deprecato) additional.fields

chassis_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema chassis_info e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
audible_alarm	about.labels.key/value (deprecato) additional.fields
breach_description	security_result.description
chassis_types	about.labels.key/value (deprecato) additional.fields
description	metadata.description
lucchetto	about.labels.key/value (deprecato) additional.fields
manufacturer	principal.asset.hardware.manufacturer
modello	principal.asset.hardware.model
security_breach	security_result.detection_fields.key/value
serial	principal.asset.hardware.serial_number
smbios_tag	about.labels.key/value (deprecato) additional.fields
sku	about.labels.key/value (deprecato) additional.fields
stato	about.labels.key/value (deprecato) additional.fields
visible_alarm	about.labels.key/value (deprecato) additional.fields

chrome_extensions

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema chrome_extensions e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
browser_type	target.resource.attribute.labels.key/value
uid	principal.user.userid
nome	target.resource.name
profilo	target.resource.attribute.labels.key/value
profile_path	target.resource.attribute.labels.key/value
referenced_identifier	target.resource.attribute.labels.key/value
identificatore	target.resource.attribute.labels.key/value
versione	target.resource.attribute.labels.key/value
description	target.resource.attribute.labels.key/value
default_locale	target.resource.attribute.labels.key/value
current_locale	target.resource.attribute.labels.key/value
update_url	network.http.referral_url
autore	target.resource.attribute.labels.key/value
persistente	target.resource.attribute.labels.key/value
percorso	target.file.full_path
autorizzazioni	target.resource.attribute.labels.key/value
permissions_json	target.resource.attribute.labels.key/value
optional_permissions	target.resource.attribute.labels.key/value
optional_permissions_json	target.resource.attribute.labels.key/value
manifest_hash	target.resource.attribute.labels.key/value
a cui viene fatto riferimento	target.resource.attribute.labels.key/value
from_webstore	target.resource.attribute.labels.key/value
state	target.resource.attribute.labels.key/value
install_time	target.resource.attribute.labels.key/value
install_timestamp	target.resource.attribute.labels.key/value
manifest_json	target.resource.attribute.labels.key/value
chiave	target.resource.attribute.labels.key/value

Connettività

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per la connettività dello schema e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
disconnessa	about.labels.key/value (deprecato) additional.fields
ipv4_no_traffic	about.labels.key/value (deprecato) additional.fields
ipv6_no_traffic	about.labels.key/value (deprecato) additional.fields
ipv4_subnet	about.labels.key/value (deprecato) additional.fields
ipv4_local_network	about.labels.key/value (deprecato) additional.fields
ipv4_internet	about.labels.key/value (deprecato) additional.fields
ipv6_subnet	about.labels.key/value (deprecato) additional.fields
ipv6_local_network	about.labels.key/value (deprecato) additional.fields
ipv6_internet	about.labels.key/value (deprecato) additional.fields

cpu_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema cpu_info e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
device_id	principal.asset.product_object_id
modello	principal.asset.hardware.model
manufacturer	principal.asset.hardware.manufacturer
processor_type	about.labels.key/value (deprecato) additional.fields
disponibilità	about.labels.key/value (deprecato) additional.fields
cpu_status	about.labels.key/value (deprecato) additional.fields
number_of_cores	principal.asset.hardware.cpu_number_cores
logical_processors	about.labels.key/value (deprecato) additional.fields
address_width	about.labels.key/value (deprecato) additional.fields
current_clock_speed	principal.asset.hardware.cpu_clock_speed
max_clock_speed	principal.asset.hardware.cpu_max_clock_speed
socket_designation	about.labels.key/value (deprecato) additional.fields

arresti anomali

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per gli arresti anomali dello schema e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tipo	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
percorso	target.process.file.full_path
crash_path	target.file.full_path
identificatore	about.labels.key/value (deprecato) additional.fields
versione	about.labels.key/value (deprecato) additional.fields
principale	target.process.parent_process.pid
responsabile	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
dataora	metadata.event_timestamp
crashed_thread	about.labels.key/value (deprecato) additional.fields
stack_trace	about.labels.key/value (deprecato) additional.fields
exception_type	about.labels.key/value (deprecato) additional.fields
exception_codes	about.labels.key/value (deprecato) additional.fields
exception_notes	about.labels.key/value (deprecato) additional.fields
registri	about.labels.key/value (deprecato) additional.fields

crontab

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema crontab e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
event	about.labels.key/value (deprecato) additional.fields
minuto	about.labels.key/value (deprecato) additional.fields
ora	about.labels.key/value (deprecato) additional.fields
day_of_month	about.labels.key/value (deprecato) additional.fields
mese	about.labels.key/value (deprecato) additional.fields
day_of_week	about.labels.key/value (deprecato) additional.fields
comando	principal.process.command_line
percorso	principal.process.file.full_path
pid_with_namespace	about.labels.key/value (deprecato) additional.fields

curl

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema curl e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
url	network.http.referral_url
metodo	network.http.method
user_agent	network.http.user_agent
response_code	network.http.response_code
round_trip_time	network.session_duration
byte	network.received_bytes
result	about.labels.key/value (deprecato) additional.fields

curl_certificate

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema curl_certificate e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome host	principal.hostname
common_name	about.labels.key/value (deprecato) additional.fields
organizzazione	network.organization_name
organization_unit	about.labels.key/value (deprecato) additional.fields
serial_number	network.tls.server.certificate.serial
issuer_common_name	about.labels.key/value (deprecato) additional.fields
issuer_organization	network.tls.server.certificate.issuer
issuer_organization_unit	about.labels.key/value (deprecato) additional.fields
valid_from	network.tls.server.certificate.not_before
valid_to	network.tls.server.certificate.not_after
sha256_fingerprint	network.tls.server.certificate.sha256
sha1_fingerprint	network.tls.server.certificate.sha1
versione	network.tls.server.certificate.version
signature_algorithm	about.labels.key/value (deprecato) additional.fields
firma	about.labels.key/value (deprecato) additional.fields
subject_key_identifier	about.labels.key/value (deprecato) additional.fields
authority_key_identifier	about.labels.key/value (deprecato) additional.fields
key_usage	about.labels.key/value (deprecato) additional.fields
extended_key_usage	about.labels.key/value (deprecato) additional.fields
policy	about.labels.key/value (deprecato) additional.fields
subject_alternative_names	about.labels.key/value (deprecato) additional.fields
issuer_alternative_names	about.labels.key/value (deprecato) additional.fields
info_access	about.labels.key/value (deprecato) additional.fields
subject_info_access	about.labels.key/value (deprecato) additional.fields
policy_mappings	about.labels.key/value (deprecato) additional.fields
has_expired	about.labels.key/value (deprecato) additional.fields
basic_constraint	about.labels.key/value (deprecato) additional.fields
name_constraints	about.labels.key/value (deprecato) additional.fields
policy_constraints	about.labels.key/value (deprecato) additional.fields
dump_certificate	about.labels.key/value (deprecato) additional.fields
timeout	about.labels.key/value (deprecato) additional.fields
pem	about.labels.key/value (deprecato) additional.fields

device_file

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per il file di dispositivo dello schema e i sistemi operativi Linux, macOS, FreeBSD e Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
dispositivo	about.labels.key/value (deprecato) additional.fields
partizione	about.labels.key/value (deprecato) additional.fields
percorso	target.file.full_path
filename	target.file.names
inode	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
modalità	about.labels.key/value (deprecato) additional.fields
dimensioni	target.file.size
block_size	about.labels.key/value (deprecato) additional.fields
atime	about.labels.key/value (deprecato) additional.fields
mtime	target.file.last_modification_time
ctime	about.labels.key/value (deprecato) additional.fields
hard_links	about.labels.key/value (deprecato) additional.fields
tipo	about.labels.key/value (deprecato) additional.fields

device_hash

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema device_hash e i sistemi operativi Linux, macOS, freebsd, Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
dispositivo	target.file.full_path
partizione	about.labels.key/value (deprecato) additional.fields
inode	about.labels.key/value (deprecato) additional.fields
md5	target.file.md5
sha1	target.file.sha1
sha256	target.file.sha56

disk_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema disk_info e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
partizioni	principal.asset.attribute.labels.key/value
disk_index	principal.asset.attribute.labels.key/value
tipo	principal.asset.attribute.labels.key/value
ID	principal.asset.product_object_id
pnp_device_id	about.labels.key/value (deprecato) additional.fields
disk_size	principal.asset.attribute.labels.key/value
manufacturer	principal.asset.hardware.manufacturer
hardware_model	principal.asset.hardware.model
nome	principal.asset.attribute.labels.key/value
serial	principal.asset.hardware.serial_number
description	principal.asset.attribute.labels.key/value

dns_cache

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema dns_cache e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	network.dns.additional.name
tipo	about.labels.key/value (deprecato) additional.fields
flags	about.labels.key/value (deprecato) additional.fields

dns_resolvers

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema dns_resolvers e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	about.labels.key/value (deprecato) additional.fields
tipo	about.labels.key/value (deprecato) additional.fields
indirizzo	principal.ip
netmask	about.labels.key/value (deprecato) additional.fields
opzioni del modello.	about.labels.key/value (deprecato) additional.fields
pid_with_namespace	about.labels.key/value (deprecato) additional.fields

docker_container_networks

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_container_networks e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.asset.product_object_id
nome	network.carrier_name
network_id	about.labels.key/value (deprecato) additional.fields
endpoint_id (ID endpoint)	about.labels.key/value (deprecato) additional.fields
gateway	about.labels.key/value (deprecato) additional.fields
ip_address	target.ip
ip_prefix_len	about.labels.key/value (deprecato) additional.fields
ipv6_gateway	about.labels.key/value (deprecato) additional.fields
ipv6_address	target.ip
ipv6_prefix_len	about.labels.key/value (deprecato) additional.fields
mac_address	target.mac

docker_container_ports

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_container_ports e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.asset.product_object_id
tipo	network.ip_protocol
porta	target.port
host_ip	principal.ip
host_port	principal.port

docker_container_processes

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_container_processes e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.asset.product_object_id
pid	target.process.pid
nome	target.process.file.full_path
cmdline	target.process.command_line
state	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
euid	target.user.attribute.labels.key/value
egid	target.group.attribute.labels.key/value
suid	target.user.attribute.labels.key/value
sgid	target.group.attribute.labels.key/value
wired_size	about.labels.key/value (deprecato) additional.fields
resident_size	about.labels.key/value (deprecato) additional.fields
total_size	about.labels.key/value (deprecato) additional.fields
start_time	about.labels.key/value (deprecato) additional.fields
principale	target.process.parent_process.pid
pgroup	about.labels.key/value (deprecato) additional.fields
thread	about.labels.key/value (deprecato) additional.fields
nice	about.labels.key/value (deprecato) additional.fields
utente	target.user.user_display_name
tempo	about.labels.key/value (deprecato) additional.fields
cpu	about.labels.key/value (deprecato) additional.fields
mem	about.labels.key/value (deprecato) additional.fields

docker_container_stats

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_container_stats e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.resource.product_object_id
nome	target.resource.name
pids	about.labels.key/value (deprecato) additional.fields
read	about.labels.key/value (deprecato) additional.fields
preread	about.labels.key/value (deprecato) additional.fields
intervallo	about.labels.key/value (deprecato) additional.fields
disk_read	about.labels.key/value (deprecato) additional.fields
disk_write	about.labels.key/value (deprecato) additional.fields
num_procs	about.labels.key/value (deprecato) additional.fields
cpu_total_usage	about.labels.key/value (deprecato) additional.fields
cpu_kernelmode_usage	about.labels.key/value (deprecato) additional.fields
cpu_usermode_usage	about.labels.key/value (deprecato) additional.fields
system_cpu_usage	about.labels.key/value (deprecato) additional.fields
online_cpus	about.labels.key/value (deprecato) additional.fields
pre_cpu_total_usage	about.labels.key/value (deprecato) additional.fields
pre_cpu_kernelmode_usage	about.labels.key/value (deprecato) additional.fields
pre_cpu_usermode_usage	about.labels.key/value (deprecato) additional.fields
pre_system_cpu_usage	about.labels.key/value (deprecato) additional.fields
pre_online_cpus	about.labels.key/value (deprecato) additional.fields
memory_usage	about.labels.key/value (deprecato) additional.fields
memory_max_usage	about.labels.key/value (deprecato) additional.fields
memory_limit	about.labels.key/value (deprecato) additional.fields
network_rx_bytes	about.labels.key/value (deprecato) additional.fields
network_tx_bytes	about.labels.key/value (deprecato) additional.fields

docker_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_info e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.resource.product_object_id
Container	about.labels.key/value (deprecato) additional.fields
containers_running	about.labels.key/value (deprecato) additional.fields
containers_paused	about.labels.key/value (deprecato) additional.fields
containers_stopped	about.labels.key/value (deprecato) additional.fields
immagini	about.labels.key/value (deprecato) additional.fields
storage_driver	about.labels.key/value (deprecato) additional.fields
memory_limit	about.labels.key/value (deprecato) additional.fields
swap_limit	about.labels.key/value (deprecato) additional.fields
kernel_memory	about.labels.key/value (deprecato) additional.fields
cpu_cfs_period	about.labels.key/value (deprecato) additional.fields
cpu_cfs_quota	about.labels.key/value (deprecato) additional.fields
cpu_shares	about.labels.key/value (deprecato) additional.fields
cpu_set	about.labels.key/value (deprecato) additional.fields
ipv4_forwarding	about.labels.key/value (deprecato) additional.fields
bridge_nf_iptables	about.labels.key/value (deprecato) additional.fields
bridge_nf_ip6tables	about.labels.key/value (deprecato) additional.fields
oom_kill_disable	about.labels.key/value (deprecato) additional.fields
logging_driver	about.labels.key/value (deprecato) additional.fields
cgroup_driver	about.labels.key/value (deprecato) additional.fields
kernel_version	about.labels.key/value (deprecato) additional.fields
os	about.labels.key/value (deprecato) additional.fields
os_type	target.platform(enum)
architettura	about.labels.key/value (deprecato) additional.fields
cpus	about.labels.key/value (deprecato) additional.fields
memoria	about.labels.key/value (deprecato) additional.fields
http_proxy	about.labels.key/value (deprecato) additional.fields
https_proxy	about.labels.key/value (deprecato) additional.fields
no_proxy	about.labels.key/value (deprecato) additional.fields
nome	target.hostname
server_version	target.platform_version
root_dir	target.file.full_path

docker_network_labels

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_network_labels e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.resource.product_object_id
chiave	target.resource.attribute.labels.key/value
valore	about.labels.key/value (deprecato) additional.fields

docker_networks

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema docker_networks e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ID	target.resource.product_object_id
nome	about.labels.key/value (deprecato) additional.fields
driver	about.labels.key/value (deprecato) additional.fields
creato	target.resource.attribute.creation_time
enable_ipv6	about.labels.key/value (deprecato) additional.fields
subnet	about.labels.key/value (deprecato) additional.fields
gateway	about.labels.key/value (deprecato) additional.fields

ec2_instance_metadata

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema ec2_instance_metadata e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
instance_id	target.resource.product_object_id
instance_type	about.labels.key/value (deprecato) additional.fields
architettura	about.labels.key/value (deprecato) additional.fields
regione	target.location.country_or_region
availability_zone	about.labels.key/value (deprecato) additional.fields
local_hostname	target.hostname
local_ipv4	target.ip
mac	target.mac
security_groups	about.labels.key/value (deprecato) additional.fields
iam_arn	about.labels.key/value (deprecato) additional.fields
ami_id	about.labels.key/value (deprecato) additional.fields
reservation_id	about.labels.key/value (deprecato) additional.fields
account_id	target.user.userid
ssh_public_key	about.labels.key/value (deprecato) additional.fields

es_process_events

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema es_process_events e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
versione	target.platform_version
seq_num	about.labels.key/value (deprecato) additional.fields
global_seq_num	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
percorso	target.process.file.full_path
principale	target.process.parent_process.pid
original_parent	about.labels.key/value (deprecato) additional.fields
cmdline	target.process.command_line
cmdline_count	about.labels.key/value (deprecato) additional.fields
env	about.labels.key/value (deprecato) additional.fields
env_count	about.labels.key/value (deprecato) additional.fields
cwd	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
euid	about.labels.key/value (deprecato) additional.fields
gid	target.group.product_object_id
egid	about.labels.key/value (deprecato) additional.fields
nome utente	target.user.user_display_name
signing_id	about.labels.key/value (deprecato) additional.fields
team_id	about.labels.key/value (deprecato) additional.fields
cdhash	about.labels.key/value (deprecato) additional.fields
platform_binary	about.labels.key/value (deprecato) additional.fields
exit_code	about.labels.key/value (deprecato) additional.fields
child_pid	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
event_type	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

etc_hosts

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema etc_hosts e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
indirizzo	target.ip
nomi host	about.hostname
pid_with_namespace	about.labels.key/value (deprecato) additional.fields

etc_protocols

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema etc_protocols e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	network.ip_protocol
numero	about.labels.key/value (deprecato) additional.fields
alias	about.labels.key/value (deprecato) additional.fields
commento	about.labels.key/value (deprecato) additional.fields

etc_services

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema etc_services e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	target.resource.name
porta	target.port
protocollo	network.ip_protocol
alias	about.labels.key/value (deprecato) additional.fields
commento	about.labels.key/value (deprecato) additional.fields

file

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per il file di schema e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
directory	about.labels.key/value (deprecato) additional.fields
filename	target.file.names
inode	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
modalità	about.labels.key/value (deprecato) additional.fields
dispositivo	target.asset.asset_id
dimensioni	target.file.size
block_size	about.labels.key/value (deprecato) additional.fields
atime	target.file.last_seen_time
mtime	target.file.last_modification_time
ctime	about.labels.key/value (deprecato) additional.fields
btime	about.labels.key/value (deprecato) additional.fields
hard_links	about.labels.key/value (deprecato) additional.fields
symlink	about.labels.key/value (deprecato) additional.fields
tipo	about.labels.key/value (deprecato) additional.fields
attributes	about.labels.key/value (deprecato) additional.fields
volume_serial	about.labels.key/value (deprecato) additional.fields
file_id	about.labels.key/value (deprecato) additional.fields
file_version	about.labels.key/value (deprecato) additional.fields
product_version	about.labels.key/value (deprecato) additional.fields
bsd_flags	about.labels.key/value (deprecato) additional.fields
pid_with_namespace	about.labels.key/value (deprecato) additional.fields
mount_namespace_id	about.labels.key/value (deprecato) additional.fields

file_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema file_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
operazione	about.labels.key/value (deprecato) additional.fields
pid	principal.process.pid
ppid	principal.process.parent_process.pid
tempo	about.labels.key/value (deprecato) additional.fields
eseguibile	about.labels.key/value (deprecato) additional.fields
parziale	about.labels.key/value (deprecato) additional.fields
cwd	about.labels.key/value (deprecato) additional.fields
percorso	src.file.full_path
dest_path	target.file.full_path
uid	principal.user.userid
gid	principal.group.product_object_id
auid	about.labels.key/value (deprecato) additional.fields
euid	about.labels.key/value (deprecato) additional.fields
egid	about.labels.key/value (deprecato) additional.fields
fsuid	about.labels.key/value (deprecato) additional.fields
fsgid	about.labels.key/value (deprecato) additional.fields
suid	about.labels.key/value (deprecato) additional.fields
sgid	about.labels.key/value (deprecato) additional.fields
uptime	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

gatekeeper

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per il gatekeeper dello schema e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
assessments_enabled	about.labels.key/value (deprecato) additional.fields
dev_id_enabled	about.labels.key/value (deprecato) additional.fields
versione	target.asset.software.version
opaque_version	about.labels.key/value (deprecato) additional.fields

gatekeeper_approved_apps

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema gatekeeper_approved_apps e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
requisito	about.labels.key/value (deprecato) additional.fields
ctime	about.labels.key/value (deprecato) additional.fields
mtime	target.resource.attribute.last_update_time

gruppi

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per i gruppi di schema e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
gid	target.group.attribute.labels.key/value
gid_signed	target.group.attribute.labels.key/value
groupname	target.group.group_display_name
group_sid	target.group.product_object_id
commento	target.group.attribute.labels.key/value
is_hidden	target.group.attribute.labels.key/value
pid_with_namespace	target.group.attribute.labels.key/value

hardware_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema hardware_events e i sistemi operativi Linux e macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
azione	security_result.action_details
percorso	target.asset.attribute.labels.key/value
tipo	target.asset.attribute.labels.key/value
driver	target.asset.attribute.labels.key/value
vendor	target.asset.attribute.labels.key/value
vendor_id	target.asset.attribute.labels.key/value
modello	target.asset.hardware.model
model_id	target.asset.attribute.labels.key/value
serial	target.asset.attribute.labels.key/value
revisione	target.asset.attribute.labels.key/value
tempo	metadata.event_timestamp
eid	metadata.product_log_id

hash

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per l'hash dello schema e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
directory	about.labels.key/value (deprecato) additional.fields
md5	target.file.md5
sha1	target.file.sha1
sha256	target.file.sha256
pid_with_namespace	about.labels.key/value (deprecato) additional.fields
mount_namespace_id	about.labels.key/value (deprecato) additional.fields

interface_addresses

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per l'interfaccia dello schema interface_addresses e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
interfaccia	about.labels.key/value (deprecato) additional.fields
indirizzo	target.ip
maschera	about.labels.key/value (deprecato) additional.fields
trasmettere	about.labels.key/value (deprecato) additional.fields
point_to_point	about.labels.key/value (deprecato) additional.fields
tipo	about.labels.key/value (deprecato) additional.fields
friendly_name	about.labels.key/value (deprecato) additional.fields

interface_details

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema interface_details e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
interfaccia	about.labels.key/value (deprecato) additional.fields
mac	target.mac
tipo	about.labels.key/value (deprecato) additional.fields
mtu	about.labels.key/value (deprecato) additional.fields
metrica	about.labels.key/value (deprecato) additional.fields
flags	about.labels.key/value (deprecato) additional.fields
ipackets	about.labels.key/value (deprecato) additional.fields
opackets	about.labels.key/value (deprecato) additional.fields
ibytes	network.sent_bytes
obyte	network.received_bytes
ierrors	about.labels.key/value (deprecato) additional.fields
oerrors	about.labels.key/value (deprecato) additional.fields
idrops	about.labels.key/value (deprecato) additional.fields
odrops	about.labels.key/value (deprecato) additional.fields
collisioni	about.labels.key/value (deprecato) additional.fields
last_change	about.labels.key/value (deprecato) additional.fields
link_speed	about.labels.key/value (deprecato) additional.fields
pci_slot	about.labels.key/value (deprecato) additional.fields
friendly_name	about.labels.key/value (deprecato) additional.fields
description	about.labels.key/value (deprecato) additional.fields
manufacturer	target.asset.hardware.manufacturer
connection_id	about.labels.key/value (deprecato) additional.fields
connection_status	about.labels.key/value (deprecato) additional.fields
abilitato	about.labels.key/value (deprecato) additional.fields
physical_adapter	about.labels.key/value (deprecato) additional.fields
velocità	about.labels.key/value (deprecato) additional.fields
servizio	target.application
dhcp_enabled	about.labels.key/value (deprecato) additional.fields
dhcp_lease_expires	network.dhcp.lease_time_seconds
dhcp_lease_obtained	about.labels.key/value (deprecato) additional.fields
dhcp_server	network.dhcp.yiaddr
dns_domain	network.dns.questions.name
dns_domain_suffix_search_order	about.labels.key/value (deprecato) additional.fields
dns_host_name	about.labels.key/value (deprecato) additional.fields
dns_server_search_order	about.labels.key/value (deprecato) additional.fields

interface_ipv6

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema interface_ipv6 e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
interfaccia	about.labels.key/value (deprecato) additional.fields
hop_limit	about.labels.key/value (deprecato) additional.fields
forwarding_enabled	about.labels.key/value (deprecato) additional.fields
redirect_accept	about.labels.key/value (deprecato) additional.fields
rtadv_accept	about.labels.key/value (deprecato) additional.fields

iptables

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema iptables e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
filter_name	about.labels.key/value (deprecato) additional.fields
catena	about.labels.key/value (deprecato) additional.fields
policy	about.labels.key/value (deprecato) additional.fields
target	about.labels.key/value (deprecato) additional.fields
protocollo	about.labels.key/value (deprecato) additional.fields
src_port	src.port
dst_port	target.port
src_ip	src.ip
src_mask	about.labels.key/value (deprecato) additional.fields
iniface	about.labels.key/value (deprecato) additional.fields
iniface_mask	about.labels.key/value (deprecato) additional.fields
dst_ip	target.ip
dst_mask	about.labels.key/value (deprecato) additional.fields
outiface	about.labels.key/value (deprecato) additional.fields
outiface_mask	about.labels.key/value (deprecato) additional.fields
corrispondenza	about.labels.key/value (deprecato) additional.fields
pacchetti	about.labels.key/value (deprecato) additional.fields
byte	network.received_bytes

kernel_panics

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per il kernel_panics dello schema e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
tempo	about.labels.key/value (deprecato) additional.fields
registri	about.labels.key/value (deprecato) additional.fields
frame_backtrace	about.labels.key/value (deprecato) additional.fields
module_backtrace	about.labels.key/value (deprecato) additional.fields
delle dipendenze	about.labels.key/value (deprecato) additional.fields
nome	target.process.command_line
os_version	target.platform_version
kernel_version	about.labels.key/value (deprecato) additional.fields
system_model	target.asset.hardware.model
uptime	about.labels.key/value (deprecato) additional.fields
last_loaded	about.labels.key/value (deprecato) additional.fields
last_unloaded	about.labels.key/value (deprecato) additional.fields

keychain_acls

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per la catena di chiavi dello schema keychain_acls e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
keychain_path	about.labels.key/value (deprecato) additional.fields
autorizzazioni	about.labels.key/value (deprecato) additional.fields
percorso	target.file.full_path
description	metadata.description
etichetta	about.labels.key/value (deprecato) additional.fields

known_hosts

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema known_hosts e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
uid	target.user.userid
chiave	about.labels.key/value (deprecato) additional.fields
key_file	target.file.full_path

ultima

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema last e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome utente	target.user.user_display_name
tty	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
tipo	about.labels.key/value (deprecato) additional.fields
type_name	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
host	target.hostname

listening_ports

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema listening_ports e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
pid	target.process.pid
porta	target.port
protocollo	network.ip_protocol
famiglia	about.labels.key/value (deprecato) additional.fields
indirizzo	target.ip
fd	about.labels.key/value (deprecato) additional.fields
socket	about.labels.key/value (deprecato) additional.fields
percorso	target.process.file.full_path
net_namespace	about.labels.key/value (deprecato) additional.fields

logged_in_users

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema logged_in_users e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tipo	about.labels.key/value (deprecato) additional.fields
utente	target.user.userid
tty	about.labels.key/value (deprecato) additional.fields
host	target.hostname
tempo	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
sid	about.labels.key/value (deprecato) additional.fields
registry_hive	about.labels.key/value (deprecato) additional.fields

logon_sessions

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema logon_sessions e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
logon_id	about.labels.key/value (deprecato) additional.fields
utente	target.user.user_display_name
logon_domain	about.labels.key/value (deprecato) additional.fields
authentication_package	about.labels.key/value (deprecato) additional.fields
logon_type	about.labels.key/value (deprecato) additional.fields
session_id	network.session_id
logon_sid	about.labels.key/value (deprecato) additional.fields
logon_time	about.labels.key/value (deprecato) additional.fields
logon_server	about.labels.key/value (deprecato) additional.fields
dns_domain_name	network.dns_domain
upn	about.labels.key/value (deprecato) additional.fields
logon_script	about.labels.key/value (deprecato) additional.fields
profile_path	target.file.full_path
home_directory	about.labels.key/value (deprecato) additional.fields
home_directory_drive	about.labels.key/value (deprecato) additional.fields

lxd_certificates

La seguente tabella elenca i campi dei log e i mapping UDM corrispondenti per lo schema lxd_certificates e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	security_result.detection_fields.key/value
tipo	security_result.detection_fields.key/value
impronta	security_result.detection_fields.key/value
certificato	security_result.detection_fields.key/value

lxd_networks

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema lxd_networks e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	about.labels.key/value (deprecato) additional.fields
tipo	about.labels.key/value (deprecato) additional.fields
gestito	about.labels.key/value (deprecato) additional.fields
ipv4_address	about.labels.key/value (deprecato) additional.fields
ipv6_address	about.labels.key/value (deprecato) additional.fields
used_by	about.labels.key/value (deprecato) additional.fields
bytes_received	network.received_bytes
bytes_sent	network.sent_bytes
packets_received	about.labels.key/value (deprecato) additional.fields
packets_sent	about.labels.key/value (deprecato) additional.fields
hwaddr	about.labels.key/value (deprecato) additional.fields
state	about.labels.key/value (deprecato) additional.fields
mtu	about.labels.key/value (deprecato) additional.fields

managed_policies

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema managed_policies e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
dominio	target.administrative_domain
uuid	about.labels.key/value (deprecato) additional.fields
nome	about.labels.key/value (deprecato) additional.fields
valore	about.labels.key/value (deprecato) additional.fields
nome utente	target.user.user_display_name
manuale	about.labels.key/value (deprecato) additional.fields

memory_devices

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema memory_devices e i sistemi operativi Linux e macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
handle	about.labels.key/value (deprecato) additional.fields
array_handle	about.labels.key/value (deprecato) additional.fields
form_factor	about.labels.key/value (deprecato) additional.fields
total_width	about.labels.key/value (deprecato) additional.fields
data_width	about.labels.key/value (deprecato) additional.fields
dimensioni	about.labels.key/value (deprecato) additional.fields
set	about.labels.key/value (deprecato) additional.fields
device_locator	about.labels.key/value (deprecato) additional.fields
bank_locator	about.labels.key/value (deprecato) additional.fields
memory_type	about.labels.key/value (deprecato) additional.fields
memory_type_details	about.labels.key/value (deprecato) additional.fields
max_speed	about.labels.key/value (deprecato) additional.fields
configured_clock_speed	about.labels.key/value (deprecato) additional.fields
manufacturer	target.asset.hardware.manufacturer
serial_number	target.asset.hardware.serial_number
asset_tag	target.asset.asset_id
part_number	about.labels.key/value (deprecato) additional.fields
min_voltage	about.labels.key/value (deprecato) additional.fields
max_voltage	about.labels.key/value (deprecato) additional.fields
configured_voltage	about.labels.key/value (deprecato) additional.fields

ntdomains

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema ntdomains e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	about.labels.key/value (deprecato) additional.fields
client_site_name	about.labels.key/value (deprecato) additional.fields
dc_site_name	about.labels.key/value (deprecato) additional.fields
dns_forest_name	network.dns.questions.name
domain_controller_address	target.ip
domain_controller_name	about.labels.key/value (deprecato) additional.fields
domain_name	target.administrative_domain
stato	about.labels.key/value (deprecato) additional.fields

ntfs_acl_permissions

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema ntfs_acl_permissions e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
tipo	about.labels.key/value (deprecato) additional.fields
entità	about.labels.key/value (deprecato) additional.fields
riga	about.labels.key/value (deprecato) additional.fields
inherited_from	about.labels.key/value (deprecato) additional.fields

os_version

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema os_version e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	about.labels.key/value (deprecato) additional.fields
versione	principal.platform_version
maggiore	about.labels.key/value (deprecato) additional.fields
minore	about.labels.key/value (deprecato) additional.fields
patch	principal.platform_patch_level
build	about.labels.key/value (deprecato) additional.fields
piattaforma	principal.platform
platform_like	about.labels.key/value (deprecato) additional.fields
nome in codice	about.labels.key/value (deprecato) additional.fields
arco	about.labels.key/value (deprecato) additional.fields
install_date	about.labels.key/value (deprecato) additional.fields
pid_with_namespace	about.labels.key/value (deprecato) additional.fields
mount_namespace_id	about.labels.key/value (deprecato) additional.fields

osquery_events

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema osquery_events e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	target.resource.name
publisher	about.label.key/value
tipo	about.label.key/value
abbonamenti	about.label.key/value
eventi	about.label.key/value
aggiorna	about.label.key/value
attivo	about.label.key/value

di sicurezza

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per le patch dello schema e Windows OS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
csname	target.hostname
hotfix_id	about.labels.key/value (deprecato) additional.fields
didascalia	about.labels.key/value (deprecato) additional.fields
description	metadata.description
fix_comments	about.labels.key/value (deprecato) additional.fields
installed_by	about.labels.key/value (deprecato) additional.fields
install_date	about.labels.key/value (deprecato) additional.fields
installed_on	about.labels.key/value (deprecato) additional.fields

pci_devices

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema pci_devices e i sistemi operativi Linux e macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
pci_slot	principal.labels.key/value (deprecato) additional.fields
pci_class	principal.labels.key/value (deprecato) additional.fields
driver	principal.labels.key/value (deprecato) additional.fields
vendor	principal.labels.key/value (deprecato) additional.fields
vendor_id	principal.labels.key/value (deprecato) additional.fields
modello	principal.asset.hardware.model
model_id	principal.labels.key/value (deprecato) additional.fields
sottosistema	principal.labels.key/value (deprecato) additional.fields
Express	principal.labels.key/value (deprecato) additional.fields
fulmine	principal.labels.key/value (deprecato) additional.fields
rimovibile	principal.labels.key/value (deprecato) additional.fields
pci_class_id	principal.labels.key/value (deprecato) additional.fields
pci_subclass_id	principal.labels.key/value (deprecato) additional.fields
pci_subclass	principal.labels.key/value (deprecato) additional.fields
subsystem_vendor_id	principal.labels.key/value (deprecato) additional.fields
subsystem_vendor	principal.labels.key/value (deprecato) additional.fields
subsystem_model_id	principal.labels.key/value (deprecato) additional.fields
subsystem_model	principal.labels.key/value (deprecato) additional.fields

tubi

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per le pipe dello schema e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
pid	target.process.pid
nome	target.resource.name
istanze	about.labels.key/value (deprecato) additional.fields
max_instances	about.labels.key/value (deprecato) additional.fields
flags	about.labels.key/value (deprecato) additional.fields

powershell_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema powershell_events e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tempo	metadata.collected_timestamp
dataora	about.labels.key/value (deprecato) additional.fields
script_block_id	about.labels.key/value (deprecato) additional.fields
script_block_count	about.labels.key/value (deprecato) additional.fields
script_text	about.labels.key/value (deprecato) additional.fields
script_name	about.labels.key/value (deprecato) additional.fields
script_path	target.file.full_path
cosine_similarity	about.labels.key/value (deprecato) additional.fields

process_envs

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema process_envs e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
pid	target.process.pid
chiave	about.labels.key
valore	about.labels.value

process_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema process_events e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
versione	target.platform_version
seq_num	about.labels.key/value (deprecato) additional.fields
global_seq_num	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
percorso	target.file.full_path
principale	target.process.parent_process.pid
original_parent	about.labels.key/value (deprecato) additional.fields
cmdline	target.process.command_line
cmdline_count	about.labels.key/value (deprecato) additional.fields
env	about.labels.key/value (deprecato) additional.fields
env_count	about.labels.key/value (deprecato) additional.fields
cwd	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
euid	about.labels.key/value (deprecato) additional.fields
gid	target.group.product_object_id
egid	about.labels.key/value (deprecato) additional.fields
nome utente	target.user.user_display_name
signing_id	about.labels.key/value (deprecato) additional.fields
team_id	about.labels.key/value (deprecato) additional.fields
cdhash	about.labels.key/value (deprecato) additional.fields
platform_binary	about.labels.key/value (deprecato) additional.fields
exit_code	about.labels.key/value (deprecato) additional.fields
child_pid	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
event_type	about.labels.key/value (deprecato) additional.fields
eid	about.labels.key/value (deprecato) additional.fields

process_file_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema process_file_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
operazione	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
ppid	target.process.parent_process.pid
tempo	about.labels.key/value (deprecato) additional.fields
eseguibile	about.labels.key/value (deprecato) additional.fields
parziale	about.labels.key/value (deprecato) additional.fields
cwd	about.labels.key/value (deprecato) additional.fields
percorso	target.file.full_path
dest_path	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
auid	about.labels.key/value (deprecato) additional.fields
euid	about.labels.key/value (deprecato) additional.fields
egid	about.labels.key/value (deprecato) additional.fields
fsuid	about.labels.key/value (deprecato) additional.fields
fsgid	about.labels.key/value (deprecato) additional.fields
suid	about.labels.key/value (deprecato) additional.fields
sgid	about.labels.key/value (deprecato) additional.fields
uptime	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

process_open_sockets

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema process_open_sockets e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
pid	principal.process.pid
fd	about.labels.key/value (deprecato) additional.fields
socket	about.labels.key/value (deprecato) additional.fields
famiglia	about.labels.key/value (deprecato) additional.fields
protocollo	about.labels.key/value (deprecato) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
percorso	target.file.full_path
state	about.labels.key/value (deprecato) additional.fields
net_namespace	about.labels.key/value (deprecato) additional.fields

processi

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per i processi dello schema e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
pid	target.process.pid
nome	about.labels.key/value (deprecato) additional.fields
percorso	target.process.file.full_path
cmdline	target.process.command_line
state	target.process.attribute.labels.key/value
cwd	about.labels.key/value (deprecato) additional.fields
root	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
euid	about.labels.key/value (deprecato) additional.fields
egid	about.labels.key/value (deprecato) additional.fields
suid	about.labels.key/value (deprecato) additional.fields
sgid	about.labels.key/value (deprecato) additional.fields
on_disk	about.labels.key/value (deprecato) additional.fields
wired_size	about.labels.key/value (deprecato) additional.fields
resident_size	about.labels.key/value (deprecato) additional.fields
total_size	about.labels.key/value (deprecato) additional.fields
user_time	about.labels.key/value (deprecato) additional.fields
system_time	about.labels.key/value (deprecato) additional.fields
disk_bytes_read	about.labels.key/value (deprecato) additional.fields
disk_bytes_written	about.labels.key/value (deprecato) additional.fields
start_time	about.labels.key/value (deprecato) additional.fields
principale	target.process.parent_process.pid
pgroup	about.labels.key/value (deprecato) additional.fields
thread	about.labels.key/value (deprecato) additional.fields
nice	about.labels.key/value (deprecato) additional.fields
elevated_token	about.labels.key/value (deprecato) additional.fields
secure_process	about.labels.key/value (deprecato) additional.fields
protection_type	about.labels.key/value (deprecato) additional.fields
virtual_process	about.labels.key/value (deprecato) additional.fields
elapsed_time	about.labels.key/value (deprecato) additional.fields
handle_count	about.labels.key/value (deprecato) additional.fields
percent_processor_time	about.labels.key/value (deprecato) additional.fields
upid	about.labels.key/value (deprecato) additional.fields
uppid	about.labels.key/value (deprecato) additional.fields
cpu_type	about.labels.key/value (deprecato) additional.fields
cpu_subtype	about.labels.key/value (deprecato) additional.fields

programmi

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per i programmi dello schema e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	target.resource.name
versione	target.platform_version
install_location	about.labels.key/value (deprecato) additional.fields
install_source	about.labels.key/value (deprecato) additional.fields
lingua	about.labels.key/value (deprecato) additional.fields
publisher	about.labels.key/value (deprecato) additional.fields
uninstall_string	target.file.full_path
install_date	about.labels.key/value (deprecato) additional.fields
identifying_number	about.labels.key/value (deprecato) additional.fields

scheduled_tasks

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema scheduled_tasks e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	target.resource.name
azione	security_result.action_details
percorso	target.file.full_path
abilitato	about.labels.key/value (deprecato) additional.fields
state	about.labels.key/value (deprecato) additional.fields
nascosto	about.labels.key/value (deprecato) additional.fields
last_run_time	about.labels.key/value (deprecato) additional.fields
next_run_time	about.labels.key/value (deprecato) additional.fields
last_run_message	about.labels.key/value (deprecato) additional.fields
last_run_code	about.labels.key/value (deprecato) additional.fields

seccomp_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema seccomp_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tempo	about.labels.key/value (deprecato) additional.fields
uptime	about.labels.key/value (deprecato) additional.fields
auid	about.labels.key/value (deprecato) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
ses	about.labels.key/value (deprecato) additional.fields
pid	target.process.pid
comm	about.labels.key/value (deprecato) additional.fields
exe	target.file.full_path
sig	about.labels.key/value (deprecato) additional.fields
arco	about.labels.key/value (deprecato) additional.fields
syscall	about.labels.key/value (deprecato) additional.fields
compat	about.labels.key/value (deprecato) additional.fields
ip	about.labels.key/value (deprecato) additional.fields
codice	about.labels.key/value (deprecato) additional.fields

seLinux_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema seLinux_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tipo	about.labels.key/value (deprecato) additional.fields
messaggio	metadata.description
tempo	about.labels.key/value (deprecato) additional.fields
uptime	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

shadow

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema shadow e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
password_status	about.labels.key/value (deprecato) additional.fields
hash_alg	about.labels.key/value (deprecato) additional.fields
last_change	about.labels.key/value (deprecato) additional.fields
min	about.labels.key/value (deprecato) additional.fields
max	about.labels.key/value (deprecato) additional.fields
avviso	about.labels.key/value (deprecato) additional.fields
non attivo	about.labels.key/value (deprecato) additional.fields
expire	about.labels.key/value (deprecato) additional.fields
flag	about.labels.key/value (deprecato) additional.fields
nome utente	principal.user.user_display_name

shell_history

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema shell_history e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
uid	principal.user.userid
tempo	about.labels.key/value (deprecato) additional.fields
comando	principal.process.command_line
history_file	principal.process.file.full_path

shimcache

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema shimcache e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
entry	about.labels.key/value (deprecato) additional.fields
percorso	target.file.full_path
modified_time	target.file.last_modification_time
execution_flag	about.labels.key/value (deprecato) additional.fields

firma

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per la firma dello schema e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
hash_resources	about.labels.key/value (deprecato) additional.fields
arco	about.labels.key/value (deprecato) additional.fields
firma apposta	target.file.pe_file.signature_info.verified
identificatore	target.file.pe_file.signature_info.signer
cdhash	about.labels.key/value (deprecato) additional.fields
team_identifier	about.labels.key/value (deprecato) additional.fields
autorità	about.labels.key/value (deprecato) additional.fields

sip_config

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema sip_config e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
config_flag	about.labels.key/value (deprecato) additional.fields
abilitato	about.labels.key/value (deprecato) additional.fields
enabled_nvram	about.labels.key/value (deprecato) additional.fields

socket_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema socket_events e i sistemi operativi Linux e macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
azione	security_result.action_details
pid	target.process.pid
percorso	target.process.file.full_path
fd	about.labels.key/value (deprecato) additional.fields
auid	target.user.userid
stato	about.labels.key/value (deprecato) additional.fields
famiglia	about.labels.key/value (deprecato) additional.fields
protocollo	about.labels.key/value (deprecato) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
socket	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
uptime	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id
operazione riuscita	about.labels.key/value (deprecato) additional.fields

sudoers

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema sudoers e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
origine	about.labels.key/value (deprecato) additional.fields
intestazione	about.labels.key/value (deprecato) additional.fields
rule_details	about.labels.key/value (deprecato) additional.fields

syslog_events

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema syslog_events e il sistema operativo Linux:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tempo	about.labels.key/value (deprecato) additional.fields
dataora	about.labels.key/value (deprecato) additional.fields
host	target.hostname
gravità	security_result.severity (enum)
struttura	about.labels.key/value (deprecato) additional.fields
tag	about.labels.key/value (deprecato) additional.fields
messaggio	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

system_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema system_info e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome host	principal.administrative_domain
uuid	about.labels.key/value (deprecato) additional.fields
cpu_type	about.labels.key/value (deprecato) additional.fields
cpu_subtype	about.labels.key/value (deprecato) additional.fields
cpu_brand	about.labels.key/value (deprecato) additional.fields
cpu_physical_cores	about.labels.key/value (deprecato) additional.fields
cpu_logical_cores	principal.asset.hardware.cpu_number_cores
cpu_microcode	about.labels.key/value (deprecato) additional.fields
physical_memory	about.labels.key/value (deprecato) additional.fields
hardware_vendor	about.labels.key/value (deprecato) additional.fields
hardware_model	principal.asset.hardware.model
hardware_version	about.labels.key/value (deprecato) additional.fields
hardware_serial	principal.asset.hardware.serial_number
board_vendor	about.labels.key/value (deprecato) additional.fields
board_model	about.labels.key/value (deprecato) additional.fields
board_version	about.labels.key/value (deprecato) additional.fields
board_serial	about.labels.key/value (deprecato) additional.fields
computer_name	about.labels.key/value (deprecato) additional.fields
local_hostname	about.labels.key/value (deprecato) additional.fields

tpm_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema tpm_info e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
attivato	about.labels.key/value (deprecato) additional.fields
abilitato	about.labels.key/value (deprecato) additional.fields
di proprietà	about.labels.key/value (deprecato) additional.fields
manufacturer_version	about.labels.key/value (deprecato) additional.fields
manufacturer_id	about.labels.key/value (deprecato) additional.fields
manufacturer_name	principal.aseet.hardware.manufacturer
product_name	principal.resource.name
physical_presence_version	about.labels.key/value (deprecato) additional.fields
spec_version	about.labels.key/value (deprecato) additional.fields

usb_devices

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema usb_devices e i sistemi operativi Linux e macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
usb_address	about.labels.key/value (deprecato) additional.fields
usb_port	about.labels.key/value (deprecato) additional.fields
vendor	about.labels.key/value (deprecato) additional.fields
vendor_id	about.labels.key/value (deprecato) additional.fields
versione	about.labels.key/value (deprecato) additional.fields
modello	target.asset.hardware.model
model_id	about.labels.key/value (deprecato) additional.fields
serial	target.asset.hardware.serial_number
classe	about.labels.key/value (deprecato) additional.fields
sottoclasse	about.labels.key/value (deprecato) additional.fields
protocollo	about.labels.key/value (deprecato) additional.fields
rimovibile	about.labels.key/value (deprecato) additional.fields

user_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema user_events e i sistemi operativi Linux, macOS, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
uid	principal.user.userid
auid	principal.user.attribute.labels.key/value
pid	target.process.pid
messaggio	metadata.description
tipo	about.labels.key/value (deprecato) additional.fields
percorso	target.file.full_path
indirizzo	about.labels.key/value (deprecato) additional.fields
terminale	about.labels.key/value (deprecato) additional.fields
tempo	metadata.collected_timestamp
uptime	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

user_groups

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per gli schemi user_groups e OS Linux, macOS, Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
uid	principal.user.userid
gid	principal.group.product_object_id

utenti

La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per gli utenti dello schema e i sistemi operativi macOS, Linux, Windows, freebsd:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
uid	principal.user.userid
gid	principal.user.group_identifiers(repeated)
uid_signed	about.labels.key/value (deprecato) additional.fields
gid_signed	about.labels.key/value (deprecato) additional.fields
nome utente	principal.user.user_display_name
description	about.labels.key/value (deprecato) additional.fields
directory	about.labels.key/value (deprecato) additional.fields
shell	about.labels.key/value (deprecato) additional.fields
uuid	principal.user.product_object_id
tipo	about.labels.key/value (deprecato) additional.fields
is_hidden	about.labels.key/value (deprecato) additional.fields
pid_with_namespace	about.labels.key/value (deprecato) additional.fields

wifi_networks

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema wifi_networks e il sistema operativo macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
ssid	target.labels.key/value (deprecato) additional.fields
network_name	target.labels.key/value (deprecato) additional.fields
security_type	target.labels.key/value (deprecato) additional.fields
last_connected	about.labels.key/value (deprecato) additional.fields
passpoint	about.labels.key/value (deprecato) additional.fields
possibly_hidden	about.labels.key/value (deprecato) additional.fields
roaming	about.labels.key/value (deprecato) additional.fields
roaming_profile	about.labels.key/value (deprecato) additional.fields
captive_portal	about.labels.key/value (deprecato) additional.fields
auto_login	target.labels.key/value (deprecato) additional.fields
temporarily_disabled	target.labels.key/value (deprecato) additional.fields
disattivata	target.labels.key/value (deprecato) additional.fields

windows_crashes

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema Windows_crashes e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
dataora	about.labels.key/value (deprecato) additional.fields
modulo	about.labels.key/value (deprecato) additional.fields
percorso	target.process.file.full_path
pid	target.process.pid
tid	about.labels.key/value (deprecato) additional.fields
versione	about.labels.key/value (deprecato) additional.fields
process_uptime	about.labels.key/value (deprecato) additional.fields
stack_trace	about.labels.key/value (deprecato) additional.fields
exception_code	about.labels.key/value (deprecato) additional.fields
exception_message	about.labels.key/value (deprecato) additional.fields
exception_address	about.labels.key/value (deprecato) additional.fields
registri	about.labels.key/value (deprecato) additional.fields
command_line	target.process.command_line
current_directory	about.labels.key/value (deprecato) additional.fields
nome utente	target.user.user_display_name
machine_name	about.labels.key/value (deprecato) additional.fields
major_version	about.labels.key/value (deprecato) additional.fields
minor_version	about.labels.key/value (deprecato) additional.fields
build_number	target.platform_version
tipo	about.labels.key/value (deprecato) additional.fields
crash_path	about.labels.key/value (deprecato) additional.fields

windows_eventlog

Il parser di eventi Windows (WINEVTLOG) mappa questi eventi. Per saperne di più, consulta la sezione Raccogliere i dati degli eventi di Microsoft Windows."

windows_events

Il parser di eventi Windows (WINEVTLOG) mappa questi eventi. Per saperne di più, consulta Raccogliere i dati degli eventi di Microsoft Windows.

windows_firewall_rules

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema Windows_firewall_rules e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
nome	about.labels.key/value (deprecato) additional.fields
app_name	target.application
azione	security_result.action (enum)
abilitato	about.labels.key/value (deprecato) additional.fields
raggruppamento	about.labels.key/value (deprecato) additional.fields
direction	network.direction
protocollo	network.ip_protocol
local_addresses	principal.ip
remote_addresses	target.ip
local_ports	principal.port
remote_ports	target.port
icmp_types_codes	about.labels.key/value (deprecato) additional.fields
profile_domain	about.labels.key/value (deprecato) additional.fields
profile_private	about.labels.key/value (deprecato) additional.fields
profile_public	about.labels.key/value (deprecato) additional.fields
service_name	about.labels.key/value (deprecato) additional.fields

windows_security_center

La tabella seguente elenca i campi dei log e i mapping UDM corrispondenti per lo schema Windows_security_center e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
firewall	security_result.detection_fields.key/value
autoupdate	security_result.detection_fields.key/value
antivirus	security_result.detection_fields.key/value
antispyware	security_result.detection_fields.key/value
internet_settings	security_result.detection_fields.key/value
Windows_security_center_service	security_result.detection_fields.key/value
user_account_control	security_result.detection_fields.key/value

windows_security_products

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema Windows_security_products e il sistema operativo Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
tipo	about.labels.key/value (deprecato) additional.fields
nome	target.resource.name
state	about.labels.key/value (deprecato) additional.fields
state_timestamp	about.labels.key/value (deprecato) additional.fields
remediation_path	about.labels.key/value (deprecato) additional.fields
signatures_up_to_date	about.labels.key/value (deprecato) additional.fields

wmi_bios_info

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema wmi_bios_info e il sistema operativo Windows:

Campo log

Mappatura UDM

metadata.event_type è mappato a SETTING_MODIFICATION

nome

about.labels.key/value (deprecato)

additional.fields

valore

about.labels.key/value (deprecato)

additional.fields

yara

La seguente tabella elenca i campi di log e i mapping UDM corrispondenti per lo schema yara e i sistemi operativi Linux, macOS, freebsd, Windows:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
percorso	target.file.full_path
corrisponde a	about.labels.key/value (deprecato) additional.fields
conteggio	about.labels.key/value (deprecato) additional.fields
sig_group	security_result.detection_fields.key/value
sigfile	security_result.detection_fields.key/value
sigrule	security_result.detection_fields.key/value
stringhe	about.labels.key/value (deprecato) additional.fields
tags	about.labels.key/value (deprecato) additional.fields
sigurl	security_result.detection_fields.key/value

yara_events

La tabella seguente elenca i campi di log e i mapping UDM corrispondenti per lo schema yara_events e i sistemi operativi Linux e macOS:

Campo log	Mappatura UDM
	metadata.event_type è mappato a SETTING_MODIFICATION
target_path	target.file.full_path
categoria	about.labels.key/value (deprecato) additional.fields
azione	security_result.action_details
transaction_id	security_result.detection_fields.key/value
corrisponde a	about.labels.key/value (deprecato) additional.fields
conteggio	about.labels.key/value (deprecato) additional.fields
stringhe	about.labels.key/value (deprecato) additional.fields
tags	about.labels.key/value (deprecato) additional.fields
tempo	about.labels.key/value (deprecato) additional.fields
eid	metadata.product_log_id

Passaggi successivi

Importazione dei dati in Google Security Operations

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.