Collecter les journaux CIM Splunk
Ce document explique comment collecter les journaux du modèle d'informations commun (CIM) Splunk en configurant Splunk et un forwarder Google Security Operations. Ce document liste également les types de journaux et les versions de Splunk compatibles.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Présentation
Le schéma d'architecture de déploiement suivant montre comment les agents Splunk sont configurés pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut différer de cette représentation et être plus complexe.
Le schéma d'architecture présente les composants suivants:
Source de données: système à surveiller sur lequel Splunk est installé.
Splunk: collecte des informations auprès de la source de données et les transfère à l'agrégateur Google Security Operations.
Transmetteur Google Security Operations: composant logiciel léger déployé sur le réseau du client pour transmettre les journaux à Google Security Operations.
Google Security Operations: conserve et analyse les journaux du serveur Fleet.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion SPLUNK.
Avant de commencer
Utilisez la version 5.0 de Splunk compatible avec l'analyseur Google Security Operations.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Configurer un agent Splunk et un forwarder Google Security Operations
Installez un agent conforme à la norme CIM à partir de Splunkbase.
Configurez le transfert Google Security Operations pour transférer les journaux vers le système Google Security Operations. Voici un exemple de configuration d'un forwarder Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Éléments à prendre en compte pour rédiger des requêtes de recherche Splunk
Splunk possède son propre langage de recherche, qui est semblable à SQL. Assurez-vous d'utiliser la syntaxe appropriée pour votre requête de recherche. Tenez compte des caractéristiques de recherche suivantes lorsque vous créez une requête:
Caractère d'échappement
Si une valeur de chaîne contient des guillemets doubles ", utilisez des barres obliques inverses pour échapper les guillemets. Sinon, la recherche interprète mal la fin de la valeur de la chaîne.
Par exemple, pour rechercher une chaîne WHERE _raw="The user "vpatel" isn't authenticated.", vous devez utiliser la séquence \" pour rechercher un guillemet double littéral.
Écrivez la chaîne de recherche au format suivant:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Pour échapper un caractère barre oblique inverse \ , utilisez la séquence \\ pour rechercher une barre oblique inverse.
Par exemple, si une chaîne est C:\user\abc, elle doit être écrite sous la forme C:\\user\\abc.
Recherche syntaxiquement incorrecte
Si une section de la requête n'est pas valide, la requête entière n'est pas évaluée et un message d'erreur s'affiche.
Prenons l'exemple suivant, dans lequel l'option de mode de recherche est manquante dans la requête:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
Dans cet exemple, l'option de mode de recherche est manquante dans la requête. L'erreur suivante s'affiche:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Compatibilité avec plusieurs modèles de données
Splunk accepte une seule grande requête couvrant les modèles de données. La requête de recherche suivante extrait des données de plusieurs modèles de données:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Voici les composants de cette requête qui s'étend sur les modèles de données:
Multisearch: la requête doit commencer par le mot multisearch. Une requête pour un modèle de données doit être placée entre crochets [ ] et commencer par un caractère pipe |.
Network_Traffic: nom du modèle de données.
All_Traffic: ensemble de données du modèle de données Network_Traffic.
flat: mode de recherche. Les autres options sont search et acceleration_search.
Nous vous recommandons d'utiliser la requête Splunk suivante pour effectuer une recherche dans plusieurs modèles de données:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Types de journaux et modèles de données compatibles
| Modèle de données Splunk | Compatible |
|---|---|
| Alertes | Oui |
| État de l'application (obsolète) | Non |
| Authentification | Oui |
| Certificats | Oui |
| Modifier | Oui |
| Analyse des modifications (obsolète) | Non |
| Accès aux données | Oui |
| Bases de données | Oui |
| Protection contre la perte de données | Oui |
| Oui | |
| Point de terminaison | Oui |
| Signatures d'événement | Oui |
| Messagerie interprocessus | Oui |
| Détection des intrusions | Oui |
| Inventaire | Oui |
| Machines virtuelles Java (JVM) | Oui |
| Logiciels malveillants | Oui |
| Résolution de réseau (DNS) | Oui |
| Sessions réseau | Oui |
| Trafic réseau | Oui |
| Performances | Oui |
| Journaux d'audit Splunk | Oui |
| Gestion des demandes | Oui |
| Changements | Oui |
| Failles | Oui |
| Web | Oui |
Référence du mappage de champs
Cette section explique comment l'analyseur Google Security Operations mappe les champs de journal Splunk aux champs du modèle de données unifié (UDM) Google Security Operations pour les ensembles de données. Pour en savoir plus, consultez la documentation Splunk pour la version 5.0.1.
Alertes
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Alertes" :
| Champ du journal | Mappage UDM |
|---|---|
| application | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_type | principal.resource.resource_type |
| tag | about.labels.key/value (obsolète) additional.fields |
| type | security_result.alert_state |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
| vendor_region | about.location.country_or_region |
Authentification
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk "Authentication" :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| authentication_method | about.labels.key/value (obsolète) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_nt_domain | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user_role | principal.user.attribute.roles.name (répété) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (répété) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
All_Certificates
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Certificates:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
SSL
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données SSL Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (obsolète) additional.fields |
| ssl_hash | about.labels.key/value (obsolète) additional.fields |
| ssl_is_valid | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_email | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_locality | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_organization | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_state | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_street | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_unit | about.labels.key/value (obsolète) additional.fields |
| ssl_name | about.labels.key/value (obsolète) additional.fields |
| ssl_policies | about.labels.key/value (obsolète) additional.fields |
| ssl_publickey | about.labels.key/value (obsolète) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (obsolète) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (obsolète) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_email | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_locality | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_organization | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_state | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_street | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_unit | about.labels.key/value (obsolète) additional.fields |
| ssl_validity_window | about.labels.key/value (obsolète) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Changes:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| commande | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| objet | target.resource.name |
| object_attrs | about.labels.key/value (obsolète) additional.fields |
| object_category | about.labels.key/value (obsolète) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| résultat | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Account_Management:
| Champ du journal | Mappage UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user_name | principal.labels.key/value (obsolète) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Changes:
| Champ du journal | Mappage UDM |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (obsolète) additional.fields |
network_Changes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk network_Changes:
| Champ du journal | Mappage UDM |
|---|---|
| dest_ip_range | target.labels.key/value (obsolète) additional.fields |
| dest_port_range | target.labels.key/value (obsolète) additional.fields |
| direction | network.direction |
| protocol | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (obsolète) additional.fields |
| src_port_range | principal.labels.key/value (obsolète) additional.fields |
Data_Access
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Data_Access:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| objet | target.resource.name |
| object_category | about.labels.key/value (obsolète) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| owner | about.labels.key/value (obsolète) additional.fields |
| owner_email | about.labels.key/value (obsolète) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (obsolète) additional.fields |
| parent_object_category | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| tenant_id | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (répété) |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| vendor_product_id | about.labels.key/value (obsolète) additional.fields |
All_Databases
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Databases:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| objet | target.resource.name |
| response_time | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Database_Instance
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Instance:
| Champ du journal | Mappage UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (obsolète) additional.fields |
| session_limit | about.labels.key/value (obsolète) additional.fields |
Database_Query
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Query:
| Champ du journal | Mappage UDM |
|---|---|
| requête | about.labels.key/value (obsolète) additional.fields |
| query_id | about.labels.key/value (obsolète) additional.fields |
| query_time | about.labels.key/value (obsolète) additional.fields |
| records_affected | about.labels.key/value (obsolète) additional.fields |
Instance_Stats
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Stats:
| Champ du journal | Mappage UDM |
|---|---|
| disponibilité | about.labels.key/value (obsolète) additional.fields |
| avg_executions | about.labels.key/value (obsolète) additional.fields |
| dump_area_used | about.labels.key/value (obsolète) additional.fields |
| instance_reads | about.labels.key/value (obsolète) additional.fields |
| instance_writes | about.labels.key/value (obsolète) additional.fields |
| number_of_users | about.labels.key/value (obsolète) additional.fields |
| processes | about.labels.key/value (obsolète) additional.fields |
| sessions | about.labels.key/value (obsolète) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (obsolète) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (obsolète) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (obsolète) additional.fields |
| sga_fixed_area_size | about.labels.key/value (obsolète) additional.fields |
| sga_free_memory | about.labels.key/value (obsolète) additional.fields |
| sga_library_cache_size | about.labels.key/value (obsolète) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (obsolète) additional.fields |
| sga_shared_pool_size | about.labels.key/value (obsolète) additional.fields |
| sga_sql_area_size | about.labels.key/value (obsolète) additional.fields |
| start_time | about.labels.key/value (obsolète) additional.fields |
| tablespace_used | about.labels.key/value (obsolète) additional.fields |
Session_Info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Session_Info:
| Champ du journal | Mappage UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (obsolète) additional.fields |
| commits | about.labels.key/value (obsolète) additional.fields |
| cpu_used | about.labels.key/value (obsolète) additional.fields |
| cursor | about.labels.key/value (obsolète) additional.fields |
| elapsed_time | about.labels.key/value (obsolète) additional.fields |
| logical_reads | about.labels.key/value (obsolète) additional.fields |
| machine | about.hostname |
| memory_sorts | about.labels.key/value (obsolète) additional.fields |
| physical_reads | about.labels.key/value (obsolète) additional.fields |
| seconds_in_wait | about.labels.key/value (obsolète) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (obsolète) additional.fields |
| table_scans | about.labels.key/value (obsolète) additional.fields |
| wait_state | about.labels.key/value (obsolète) additional.fields |
| wait_time | about.labels.key/value (obsolète) additional.fields |
Lock_Info
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Lock_Info:
| Champ du journal | Mappage UDM |
|---|---|
| last_call_minute | about.labels.key/value (obsolète) additional.fields |
| lock_mode | about.labels.key/value (obsolète) additional.fields |
| lock_session_id | about.labels.key/value (obsolète) additional.fields |
| logon_time | about.labels.key/value (obsolète) additional.fields |
| obj_name | about.labels.key/value (obsolète) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le tablespace de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (obsolète) additional.fields |
| tablespace_status | about.labels.key/value (obsolète) additional.fields |
| tablespace_writes | about.labels.key/value (obsolète) additional.fields |
Query_Stats
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Query_Stats:
| Champ du journal | Mappage UDM |
|---|---|
| indexes_hit | about.labels.key/value (obsolète) additional.fields |
| query_plan_hit | about.labels.key/value (obsolète) additional.fields |
| stored_procedures_called | about.labels.key/value (obsolète) additional.fields |
| tables_hit | about.labels.key/value (obsolète) additional.fields |
DLP_Incidents
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk DLP_Incidents:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| objet | target.resource.name |
| object_category | about.labels.key/value (obsolète) additional.fields |
| object_path | target.file.full_path |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
All_Email
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Email:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| delay | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (obsolète) additional.fields |
| orig_dest | target.labels.key/value (obsolète) additional.fields |
| orig_recipient | about.labels.key/value (obsolète) additional.fields |
| orig_src | network.email.from |
| de diffusion inverse | principal.process.command_line |
| process_id | principal.process.pid |
| protocol | network.application_protocol |
| destinataire | network.email.to |
| recipient_count | about.labels.key/value (obsolète) additional.fields |
| recipient_domain | about.labels.key/value (obsolète) additional.fields |
| recipient_status | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| retries | about.labels.key/value (obsolète) additional.fields |
| return_addr | about.labels.key/value (obsolète) additional.fields |
| taille | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| status_code | about.labels.key/value (obsolète) additional.fields |
| subject | network.email.subject(repeated) |
| tag | about.labels.key/value (obsolète) additional.fields |
| url | about.url |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| xdelay | about.labels.key/value (obsolète) additional.fields |
| xref | about.labels.key/value (obsolète) additional.fields |
Filtrage
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le filtrage de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| filter_action | about.labels.key/value (obsolète) additional.fields |
| filter_score | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_extra | about.labels.key/value (obsolète) additional.fields |
| signature_id | metadata.product_event_type |
Ports
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Ports" :
| Champ du journal | Mappage UDM |
|---|---|
| creation_time | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (obsolète) additional.fields |
| src_should_timesync | principal.labels.key/value (obsolète) additional.fields |
| src_should_update | principal.labels.key/value (obsolète) additional.fields |
| state | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
| transport_dest_port | target.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Processus
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Processes" :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_is_expected | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| mem_used | about.labels.key/value (obsolète) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (obsolète) additional.fields |
| parent_process_exec | about.labels.key/value (obsolète) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (obsolète) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| de diffusion inverse | about.labels.key/value (obsolète) additional.fields |
| process_current_directory | about.labels.key/value (obsolète) additional.fields |
| process_exec | about.labels.key/value (obsolète) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Services
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk "Services" :
| Champ du journal | Mappage UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_is_expected | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| service | target.application |
| service_dll | about.labels.key/value (obsolète) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (obsolète) additional.fields |
| service_dll_signature_exists | about.labels.key/value (obsolète) additional.fields |
| service_dll_signature_verified | about.labels.key/value (obsolète) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (obsolète) additional.fields |
| service_id | about.labels.key/value (obsolète) additional.fields |
| service_name | about.labels.key/value (obsolète) additional.fields |
| service_path | about.labels.key/value (obsolète) additional.fields |
| service_signature_exists | about.labels.key/value (obsolète) additional.fields |
| service_signature_verified | about.labels.key/value (obsolète) additional.fields |
| start_mode | about.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Système de fichiers
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk "Filesystem" :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| file_access_time | about.labels.key/value (obsolète) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (obsolète) additional.fields |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (obsolète) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Registre
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le registre des ensembles de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (obsolète) additional.fields |
| registry_path | about.labels.key/value (obsolète) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (obsolète) additional.fields |
| registry_value_type | about.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Signatures
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (obsolète) additional.fields |
Signatures_vendor_product
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures_vendor_product:
| Champ du journal | Mappage UDM |
|---|---|
| vendor_product | about.labels.key/value (obsolète) additional.fields |
All_Interprocess_Messaging
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Interprocess_Messaging:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| point de terminaison | about.labels.key/value (obsolète) additional.fields |
| endpoint_version | about.labels.key/value (obsolète) additional.fields |
| message | about.labels.key/value (obsolète) additional.fields |
| message_consumed_time | about.labels.key/value (obsolète) additional.fields |
| message_correlation_id | about.labels.key/value (obsolète) additional.fields |
| message_delivered_time | about.labels.key/value (obsolète) additional.fields |
| message_delivery_mode | about.labels.key/value (obsolète) additional.fields |
| message_expiration_time | about.labels.key/value (obsolète) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (obsolète) additional.fields |
| message_properties | about.labels.key/value (obsolète) additional.fields |
| message_received_time | about.labels.key/value (obsolète) additional.fields |
| message_redelivered | about.labels.key/value (obsolète) additional.fields |
| message_reply_dest | target.labels.key/value (obsolète) additional.fields |
| message_type | about.labels.key/value (obsolète) additional.fields |
| paramètres | about.labels.key/value (obsolète) additional.fields |
| payload | about.labels.key/value (obsolète) additional.fields |
| payload_type | about.labels.key/value (obsolète) additional.fields |
| request_payload | about.labels.key/value (obsolète) additional.fields |
| request_payload_type | about.labels.key/value (obsolète) additional.fields |
| request_sent_time | about.labels.key/value (obsolète) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (obsolète) additional.fields |
| response_received_time | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| return_message | about.labels.key/value (obsolète) additional.fields |
| rpc_protocol | network.application_protocol |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
IDS_Attacks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk IDS_Attacks:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (obsolète) additional.fields |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| tag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
DS_Attacks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk DS_Attacks:
| Champ du journal | Mappage UDM |
|---|---|
| dest_port | target.port |
All_Inventory
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Inventory:
| Champ du journal | Mappage UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| activé | about.labels.key/value (obsolète) additional.fields |
| famille | about.labels.key/value (obsolète) additional.fields |
| hypervisor_id | about.labels.key/value (obsolète) additional.fields |
| serial | principal.asset.hardware.serial_number |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
Processeur
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour le processeur de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (obsolète) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (obsolète) additional.fields |
| cpu_time | about.labels.key/value (obsolète) additional.fields |
| cpu_user_percent | about.labels.key/value (obsolète) additional.fields |
Mémoire
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Mémoire" :
| Champ du journal | Mappage UDM |
|---|---|
| Mém. | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (obsolète) additional.fields |
| heap_initial | about.labels.key/value (obsolète) additional.fields |
| heap_max | about.labels.key/value (obsolète) additional.fields |
| heap_used | about.labels.key/value (obsolète) additional.fields |
| non_heap_committed | about.labels.key/value (obsolète) additional.fields |
| non_heap_initial | about.labels.key/value (obsolète) additional.fields |
| non_heap_max | about.labels.key/value (obsolète) additional.fields |
| non_heap_used | about.labels.key/value (obsolète) additional.fields |
| objects_pending | about.labels.key/value (obsolète) additional.fields |
| Mém. | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (obsolète) additional.fields |
| mem_free | about.labels.key/value (obsolète) additional.fields |
| mem_used | about.labels.key/value (obsolète) additional.fields |
| échange | about.labels.key/value (obsolète) additional.fields |
| swap_free | about.labels.key/value (obsolète) additional.fields |
| swap_used | about.labels.key/value (obsolète) additional.fields |
network
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le réseau de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (obsolète) additional.fields |
| inline_nat | about.labels.key/value (obsolète) additional.fields |
| interface | about.labels.key/value (obsolète) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (obsolète) additional.fields |
| mac | principal.asset.mac |
| nom | principal.resource.name |
| nœud | about.labels.key/value (obsolète) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (obsolète) additional.fields |
| thruput | about.labels.key/value (obsolète) additional.fields |
| thruput_max | about.labels.key/value (obsolète) additional.fields |
OS
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'OS de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (obsolète) additional.fields |
| cpu_time | about.labels.key/value (obsolète) additional.fields |
| free_physical_memory | about.labels.key/value (obsolète) additional.fields |
| free_swap | about.labels.key/value (obsolète) additional.fields |
| max_file_descriptors | about.labels.key/value (obsolète) additional.fields |
| open_file_descriptors | about.labels.key/value (obsolète) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (obsolète) additional.fields |
| os_version | about.labels.key/value (obsolète) additional.fields |
| physical_memory | about.labels.key/value (obsolète) additional.fields |
| swap_space | about.labels.key/value (obsolète) additional.fields |
| system_load | about.labels.key/value (obsolète) additional.fields |
| total_processors | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
Stockage
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Storage" :
| Champ du journal | Mappage UDM |
|---|---|
| tableau | about.labels.key/value (obsolète) additional.fields |
| blocksize | about.labels.key/value (obsolète) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (obsolète) additional.fields |
| latence | about.labels.key/value (obsolète) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (obsolète) additional.fields |
| read_latency | about.labels.key/value (obsolète) additional.fields |
| read_ops | about.labels.key/value (obsolète) additional.fields |
| stockage | about.labels.key/value (obsolète) additional.fields |
| write_blocks | about.labels.key/value (obsolète) additional.fields |
| write_latency | about.labels.key/value (obsolète) additional.fields |
| write_ops | about.labels.key/value (obsolète) additional.fields |
| tableau | about.labels.key/value (obsolète) additional.fields |
| blocksize | about.labels.key/value (obsolète) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (obsolète) additional.fields |
| fd_used | about.labels.key/value (obsolète) additional.fields |
| latence | about.labels.key/value (obsolète) additional.fields |
| mount | about.labels.key/value (obsolète) additional.fields |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (obsolète) additional.fields |
| read_latency | about.labels.key/value (obsolète) additional.fields |
| read_ops | about.labels.key/value (obsolète) additional.fields |
| stockage | about.labels.key/value (obsolète) additional.fields |
| storage_free | about.labels.key/value (obsolète) additional.fields |
| storage_free_percent | about.labels.key/value (obsolète) additional.fields |
| storage_used | about.labels.key/value (obsolète) additional.fields |
| storage_used_percent | about.labels.key/value (obsolète) additional.fields |
| write_blocks | about.labels.key/value (obsolète) additional.fields |
| write_latency | about.labels.key/value (obsolète) additional.fields |
| write_ops | about.labels.key/value (obsolète) additional.fields |
| error_code | security_result.description |
| opération | about.labels.key/value (obsolète) additional.fields |
| storage_name | about.resource.name |
Utilisateur
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "User" :
| Champ du journal | Mappage UDM |
|---|---|
| interactive | about.labels.key/value (obsolète) additional.fields |
| mot de passe | about.labels.key/value (obsolète) additional.fields |
| shell | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Virtual_OS:
| Champ du journal | Mappage UDM |
|---|---|
| hyperviseur | about.labels.key/value (obsolète) additional.fields |
Instantané
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'instantané de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| taille | about.file.size |
| instantané | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
JVM
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour la JVM de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| jvm_description | security_result.description |
| tag | about.labels.key/value (obsolète) additional.fields |
Exécution de threads
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le thread de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| cm_enabled | about.labels.key/value (obsolète) additional.fields |
| cm_supported | about.labels.key/value (obsolète) additional.fields |
| cpu_time_enabled | about.labels.key/value (obsolète) additional.fields |
| cpu_time_supported | about.labels.key/value (obsolète) additional.fields |
| current_cpu_time | about.labels.key/value (obsolète) additional.fields |
| current_user_time | about.labels.key/value (obsolète) additional.fields |
| daemon_thread_count | about.labels.key/value (obsolète) additional.fields |
| omu_supported | about.labels.key/value (obsolète) additional.fields |
| peak_thread_count | about.labels.key/value (obsolète) additional.fields |
| synch_supported | about.labels.key/value (obsolète) additional.fields |
| thread_count | about.labels.key/value (obsolète) additional.fields |
| threads_started | about.labels.key/value (obsolète) additional.fields |
Environnement d'exécution
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'environnement d'exécution de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
Compilation
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Compilation:
| Champ du journal | Mappage UDM |
|---|---|
| compilation_time | about.labels.key/value (obsolète) additional.fields |
Chargement des classes
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk "Classloading" :
| Champ du journal | Mappage UDM |
|---|---|
| current_loaded | about.labels.key/value (obsolète) additional.fields |
| total_loaded | about.labels.key/value (obsolète) additional.fields |
| total_unloaded | about.labels.key/value (obsolète) additional.fields |
Malware_Attacks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Attacks:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| category | security_result.category_details |
| date | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_path | target.file.full_path |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Malware_Operations
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| product_version | about.labels.key/value (obsolète) additional.fields |
| signature_version | security_result.rule_version |
| tag | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Malware_Operations
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations:
| Champ du journal | Mappage UDM |
|---|---|
| dest_category | target.labels.key/value (obsolète) additional.fields |
DNS
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le DNS de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| additional_answer_count | about.labels.key/value (obsolète) additional.fields |
| réponse | network.dns.answer.data |
| answer_count | about.labels.key/value (obsolète) additional.fields |
| authority_answer_count | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value (obsolète) additional.fields |
| nom | about.labels.key/value (obsolète) additional.fields |
| requête | network.dns.questions.name |
| query_count | about.labels.key/value (obsolète) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (obsolète) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| transaction_id | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
All_Sessions
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Sessions:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_dns | target.labels.key/value (obsolète) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_dns | principal.labels.key/value (obsolète) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
DHCP
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données DHCP Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (obsolète) additional.fields |
All_Traffic
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Traffic:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | network.application_protocol |
| bytes | about.labels.key/value (obsolète) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_interface | target.labels.key/value (obsolète) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_ip | about.labels.key/value (obsolète) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (obsolète) additional.fields |
| icmp_code | about.labels.key/value (obsolète) additional.fields |
| icmp_type | about.labels.key/value (obsolète) additional.fields |
| paquets | about.labels.key/value (obsolète) additional.fields |
| packets_in | about.labels.key/value (obsolète) additional.fields |
| packets_out | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| protocol_version | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| rule | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_interface | principal.labels.key/value (obsolète) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| tcp_flag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
| tos | about.labels.key/value (obsolète) additional.fields |
| ttl | network.dns.additional.ttl |
| utilisateur | principal.user.userid |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| vlan | about.labels.key/value (obsolète) additional.fields |
| wifi | about.labels.key/value (obsolète) additional.fields |
All_Performance
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Performance:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| hypervisor_id | about.labels.key/value (obsolète) additional.fields |
| resource_type | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
Locaux
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Facilities" :
| Champ du journal | Mappage UDM |
|---|---|
| fan_speed | about.labels.key/value (obsolète) additional.fields |
| power | about.labels.key/value (obsolète) additional.fields |
| température | about.labels.key/value (obsolète) additional.fields |
Timesync
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Timesync:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
Temps d'activité
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk "Uptime" (Disponibilité) :
| Champ du journal | Mappage UDM |
|---|---|
| uptime | about.labels.key/value (obsolète) additional.fields |
View_Activity
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk View_Activity:
| Champ du journal | Mappage UDM |
|---|---|
| application | target.application |
| dépensé | about.labels.key/value (obsolète) additional.fields |
| uri | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| afficher | about.labels.key/value (obsolète) additional.fields |
Datamodel_Acceleration
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Datamodel_Acceleration:
| Champ du journal | Mappage UDM |
|---|---|
| access_count | about.labels.key/value (obsolète) additional.fields |
| access_time | about.labels.key/value (obsolète) additional.fields |
| application | target.application |
| buckets | about.labels.key/value (obsolète) additional.fields |
| buckets_size | about.labels.key/value (obsolète) additional.fields |
| terminé | about.labels.key/value (obsolète) additional.fields |
| cron | about.labels.key/value (obsolète) additional.fields |
| datamodel | about.labels.key/value (obsolète) additional.fields |
| condensé | about.labels.key/value (obsolète) additional.fields |
| la plus proche | about.labels.key/value (obsolète) additional.fields |
| is_inprogress | about.labels.key/value (obsolète) additional.fields |
| last_error | about.labels.key/value (obsolète) additional.fields |
| last_sid | about.labels.key/value (obsolète) additional.fields |
| latest | about.labels.key/value (obsolète) additional.fields |
| mod_time | about.labels.key/value (obsolète) additional.fields |
| retention | about.labels.key/value (obsolète) additional.fields |
| taille | about.file.size |
| summary_id | about.labels.key/value (obsolète) additional.fields |
Search_Activity
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Search_Activity:
| Champ du journal | Mappage UDM |
|---|---|
| hôte | about.hostname |
| info | about.labels.key/value (obsolète) additional.fields |
| search | about.labels.key/value (obsolète) additional.fields |
| search_et | about.labels.key/value (obsolète) additional.fields |
| search_lt | about.labels.key/value (obsolète) additional.fields |
| search_type | about.labels.key/value (obsolète) additional.fields |
| source | principal.labels.key/value (obsolète) additional.fields |
| sourcetype | principal.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Scheduler_Activity:
| Champ du journal | Mappage UDM |
|---|---|
| application | target.application |
| hôte | about.hostname |
| savedsearch_name | about.labels.key/value (obsolète) additional.fields |
| sid | about.labels.key/value (obsolète) additional.fields |
| source | principal.labels.key/value (obsolète) additional.fields |
| sourcetype | principal.labels.key/value (obsolète) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| état | security_result.summary |
| utilisateur | principal.user.user_display_name |
Web_Service_Errors
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Web_Service_Errors:
| Champ du journal | Mappage UDM |
|---|---|
| hôte | about.hostname |
| source | principal.labels.key/value (obsolète) additional.fields |
| sourcetype | principal.labels.key/value (obsolète) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Modular_Actions:
| Champ du journal | Mappage UDM |
|---|---|
| action_mode | about.labels.key/value (obsolète) additional.fields |
| action_status | about.labels.key/value (obsolète) additional.fields |
| application | target.application |
| duration | network.session_duration |
| composant | about.labels.key/value (obsolète) additional.fields |
| orig_rid | about.labels.key/value (obsolète) additional.fields |
| orig_sid | about.labels.key/value (obsolète) additional.fields |
| rid | about.labels.key/value (obsolète) additional.fields |
| search_name | about.labels.key/value (obsolète) additional.fields |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value (obsolète) additional.fields |
| utilisateur | about.labels.key/value (obsolète) additional.fields |
All_Ticket_Management
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Ticket_Management:
| Champ du journal | Mappage UDM |
|---|---|
| affect_dest | target.labels.key/value (obsolète) additional.fields |
| Commentaires | about.labels.key/value (obsolète) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| priorité | security_result.priority_details |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| splunk_id | about.labels.key/value (obsolète) additional.fields |
| splunk_realm | about.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Modifier
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Change" :
| Champ du journal | Mappage UDM |
|---|---|
| modifier | about.labels.key/value (obsolète) additional.fields |
Incident
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Incident" :
| Champ du journal | Mappage UDM |
|---|---|
| incident | about.labels.key/value (obsolète) additional.fields |
Problème
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Problème" :
| Champ du journal | Mappage UDM |
|---|---|
| problème | about.labels.key/value (obsolète) additional.fields |
Mises à jour
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Updates" :
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Failles
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Vulnerabilities" (Failles) :
| Champ du journal | Mappage UDM |
|---|---|
| bugtraq | about.labels.key/value (obsolète) additional.fields |
| category | security_result.category_details |
| cert | about.labels.key/value (obsolète) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| msft | about.labels.key/value (obsolète) additional.fields |
| mskb | about.labels.key/value (obsolète) additional.fields |
| de gravité, | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (obsolète) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| utilisateur | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| xref | about.labels.key/value (obsolète) additional.fields |
Web
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Web Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| bytes | about.labels.key/value (obsolète) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| en cache | about.labels.key/value (obsolète) additional.fields |
| category | security_result.category_details |
| biscuit | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value (obsolète) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (obsolète) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| site | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| état | network.http.response_code |
| tag | about.labels.key/value (obsolète) additional.fields |
| uri_path | about.labels.key/value (obsolète) additional.fields |
| uri_query | about.labels.key/value (obsolète) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Types d'événements UDM
Le tableau suivant répertorie les balises Splunk et les types d'événements UDM correspondants:
| Modèle de données | Balises Splunk | Type d'événement UDM |
|---|---|---|
| Alertes | alerte | STATUS_UPDATE |
| Authentification | authentification | USER_UNCATEGORIZED |
| Certificat | certificat | NETWORK_UNCATEGORIZED |
| Modifier | modifier | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Accès aux données | données, accès | USER_RESOURCE_ACCESS |
| Bases de données | base de données | USER_RESOURCE_ACCESS |
| Bases de données | base de données, instance, statistiques | STATUS_UPDATE |
| Bases de données | base de données, instance, état | STATUS_UPDATE |
| Bases de données | base de données, instance, verrouillage | STATUS_UPDATE |
| Bases de données | base de données, requête | STATUS_UPDATE |
| Bases de données | base de données, requête, espace table | STATUS_UPDATE |
| Bases de données | base de données, requête, statistiques | STATUS_UPDATE |
| Protection contre la perte de données | dlp, incident | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| e-mail, distribution | EMAIL_TRANSACTION | |
| Point de terminaison | écoute, port | SERVICE_UNSPECIFIED |
| Point de terminaison | processus, rapport | PROCESS_UNCATEGORIZED |
| Point de terminaison | service, rapport | SERVICE_UNSPECIFIED |
| Point de terminaison | point de terminaison, système de fichiers | FILE_UNCATEGORIZED |
| Point de terminaison | point de terminaison, registre | REGISTRY_UNCATEGORIZED |
| Signature de l'événement | track_event_signature | STATUS_UPDATE |
| Messagerie inter-processus | messagerie | STATUS_UPDATE |
| Détection des intrusions | ids, attaque | SERVICE_UNSPECIFIED |
| Inventaire | inventaire | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Java Virtual Machine (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Logiciels malveillants | attaque de logiciels malveillants | STATUS_UPDATE |
| Résolution de réseau(DNS) | réseau, résolution, dns | NETWORK_DNS |
| Sessions réseau | réseau, session | NETWORK_CONNECTION |
| Sessions réseau | réseau, session, dhcp | NETWORK_DHCP |
| Trafic réseau | réseau, communiquer | NETWORK_CONNECTION |
| Performances | performances | SERVICE_UNSPECIFIED |
| Journaux d'audit Splunk | modaction | STATUS_UPDATE |
| Gestion des demandes | billetterie | STATUS_UPDATE |
| Gestion des demandes | billetterie, modification | STATUS_UPDATE |
| Changements | update | STATUS_UPDATE |
| Failles | rapport, failles | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |