Raccogliere i log CIM di Splunk
Questo documento descrive come raccogliere i log del modello di informazioni comuni (CIM) di Splunk configurando Splunk e un forwarder di Google Security Operations. Questo documento elenca anche i tipi di log supportati e le versioni di Splunk supportate.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra come gli agenti Splunk sono configurati per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa da questa rappresentazione e potrebbe essere più complessa.
Il diagramma dell'architettura mostra i seguenti componenti:
Origine dati: il sistema da monitorare in cui è installato Splunk.
Splunk: raccoglie le informazioni dall'origine dati e le inoltra al forwarder di Google Security Operations.
Inoltro di Google Security Operations: un componente software leggero, di cui viene eseguito il deployment nella rete del cliente per inoltrare i log a Google Security Operations.
Google Security Operations: conserva e analizza i log del server di Fleet.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con etichetta di importazione SPLUNK
.
Prima di iniziare
Utilizza la versione 5.0 di Splunk supportata dal parser di Google Security Operations.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configurare un agente Splunk e un forwarder di Google Security Operations
Installa un agente conforme a CIM da Splunkbase.
Configura il forwarder di Google Security Operations per inviare i log al sistema di Google Security Operations. Di seguito è riportato un esempio di configurazione di un forwarder di Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Considerazioni per la scrittura di query di ricerca Splunk
Splunk ha un proprio linguaggio di ricerca, simile a SQL. Assicurati di utilizzare la sintassi corretta per la query di ricerca. Quando crei una query, tieni presenti le seguenti caratteristiche di ricerca:
Carattere di escape
Se un valore di stringa contiene una virgoletta doppia "
, utilizza i caratteri barra rovesciata per eseguire l'escape della virgoletta. In caso contrario, la ricerca interpreta erroneamente la fine del valore della stringa.
Ad esempio, per cercare una stringa WHERE _raw="The user "vpatel" isn't authenticated."
,
devi utilizzare la sequenza \"
per cercare una virgola doppia letterale.
Scrivi la stringa di ricerca nel seguente formato:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Per eseguire l'escape di un carattere barra rovesciata \
, utilizza la sequenza \\
per cercare una barra rovesciata.
Ad esempio, se è presente una stringa come C:\user\abc
, deve essere scritta come C:\\user\\abc
.
Ricerca sintatticamente errata
Se una sezione della query non è valida, l'intera query non viene valutata e viene visualizzato un messaggio di errore.
Considera l'esempio seguente in cui l'opzione della modalità di ricerca non è presente nella query:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
In questo esempio, l'opzione della modalità di ricerca non è presente nella query. Viene visualizzato il seguente errore:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Supporto di più modelli di dati
Splunk supporta una singola query di grandi dimensioni che copre i modelli di dati. La seguente query di ricerca estrae i dati da più modelli di dati:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Di seguito sono riportati i componenti di questa query che abbracciano i modelli di dati:
Multisearch
: la query deve iniziare con la parola multisearch
. Una query per un modello dei dati deve essere racchiusa tra parentesi quadre [ ]
e deve iniziare con un carattere barra |
.
Network_Traffic
: il nome del modello dei dati.
All_Traffic
: set di dati del modello dei dati Network_Traffic
.
flat
: modalità di ricerca. Le altre opzioni sono search
e acceleration_search
.
Ti consigliamo di utilizzare la seguente query Splunk per la ricerca di più modello dei dati:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Tipi di log e modelli di dati supportati
Modello dei dati di Splunk | Supportato |
---|---|
Avvisi | Sì |
Stato dell'applicazione (deprecato) | No |
Autenticazione | Sì |
Certificati | Sì |
Modifica | Sì |
Analisi delle modifiche (non più supportata) | No |
Accesso ai dati | Sì |
Database | Sì |
Data Loss Prevention | Sì |
Sì | |
Endpoint | Sì |
Firme evento | Sì |
Interprocess Messaging | Sì |
Rilevamento delle intrusioni | Sì |
Inventario | Sì |
Java Virtual Machines (JVM) | Sì |
Malware | Sì |
Risoluzione della rete (DNS) | Sì |
Sessioni di rete | Sì |
Traffico di rete | Sì |
Prestazioni | Sì |
Audit log di Splunk | Sì |
Gestione dei ticket | Sì |
Aggiornamenti | Sì |
Vulnerabilità | Sì |
Web | Sì |
Riferimento alla mappatura dei campi
Questa sezione spiega in che modo il parser di Google Security Operations mappa i campi dei log di Splunk ai campi del modello di dati unificato (UDM) di Google Security Operations per i set di dati. Per ulteriori informazioni, consulta il documento di Splunk per la versione 5.0.1.
Avvisi
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati di Splunk Avvisi:
Campo log | Mappatura UDM |
---|---|
app | observer.application |
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_type | target.resource.resource_type |
ID | metadata.product_log_id |
mitre_technique_id | security_result.detection_fields.labels.key/value |
gravità | security_result.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | security_result.rule_name |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_type | principal.resource.resource_type |
tag | about.labels.key/value (deprecato) additional.fields |
tipo | security_result.alert_state |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_name | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
vendor_account | about.labels.key/value (deprecato) additional.fields |
vendor_region | about.location.country_or_region |
Autenticazione
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Authentication:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
authentication_method | about.labels.key/value (deprecato) additional.fields |
authentication_service | extension.auth.auth_details |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_nt_domain | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
motivo | security_result.summary |
response_time | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_nt_domain | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
src_user_category | principal.labels.key/value (deprecato) additional.fields |
src_user_id | principal.user.userid |
src_user_priority | principal.labels.key/value (deprecato) additional.fields |
src_user_role | principal.user.attribute.roles.name (ripetuto) |
src_user_type | principal.user.attribute.roles.type |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_agent | network.http.user_agent |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_id | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
user_role | principal.user.attribute.roles.name (ripetuto) |
user_type | principal.user.attribute.roles.type |
vendor_account | about.labels.key/value (deprecato) additional.fields |
All_Certificates
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Certificates:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_port | target.port |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
response_time | about.labels.key/value (deprecato) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_port | principal.port |
src_priority | principal.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
trasporto | network.ip_protocol |
SSL
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk SSL:
Campo log | Mappatura UDM |
---|---|
ssl_end_time | network.tls.server.certificate.not_after |
ssl_engine | about.labels.key/value (deprecato) additional.fields |
ssl_hash | about.labels.key/value (deprecato) additional.fields |
ssl_is_valid | about.labels.key/value (deprecato) additional.fields |
ssl_issuer | network.tls.server.certificate.issuer |
ssl_issuer_common_name | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_email | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_email_domain | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_locality | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_organization | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_state | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_street | about.labels.key/value (deprecato) additional.fields |
ssl_issuer_unit | about.labels.key/value (deprecato) additional.fields |
ssl_name | about.labels.key/value (deprecato) additional.fields |
ssl_policies | about.labels.key/value (deprecato) additional.fields |
ssl_publickey | about.labels.key/value (deprecato) additional.fields |
ssl_publickey_algorithm | about.labels.key/value (deprecato) additional.fields |
ssl_serial | network.tls.server.certificate.serial |
ssl_session_id | network.session_id |
ssl_signature_algorithm | about.labels.key/value (deprecato) additional.fields |
ssl_start_time | network.tls.server.certificate.not_before |
ssl_subject | network.tls.server.certificate.subject |
ssl_subject_common_name | about.labels.key/value (deprecato) additional.fields |
ssl_subject_email | about.labels.key/value (deprecato) additional.fields |
ssl_subject_email_domain | about.labels.key/value (deprecato) additional.fields |
ssl_subject_locality | about.labels.key/value (deprecato) additional.fields |
ssl_subject_organization | about.labels.key/value (deprecato) additional.fields |
ssl_subject_state | about.labels.key/value (deprecato) additional.fields |
ssl_subject_street | about.labels.key/value (deprecato) additional.fields |
ssl_subject_unit | about.labels.key/value (deprecato) additional.fields |
ssl_validity_window | about.labels.key/value (deprecato) additional.fields |
ssl_version | network.tls.server.certificate.version |
All_Changes
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Changes:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
change_type | security_result.category_details |
comando | principal.process.command_line |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
oggetto | target.resource.name |
object_attrs | about.labels.key/value (deprecato) additional.fields |
object_category | about.labels.key/value (deprecato) additional.fields |
object_id | target.user.product_object_id |
object_path | target.file.full_path |
risultato | metadata.description |
result_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
utente | target.user.userid |
user_agent | network.http.user_agent |
user_name | principal.user.user_display_name, target.labels.key/value |
user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
vendor_account | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
vendor_region | about.location.country_or_region |
Account_Management
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Account_Management:
Campo log | Mappatura UDM |
---|---|
dest_nt_domain | target.administrative_domain |
src_nt_domain | principal.administrative_domain |
src_user | principal.user.userid |
src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
src_user_category | principal.labels.key/value (deprecato) additional.fields |
src_user_priority | principal.labels.key/value (deprecato) additional.fields |
src_user_name | principal.labels.key/value (deprecato) additional.fields |
src_user_type | principal.user.attribute.roles.type |
Instance_Changes
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Instance_Changes:
Campo log | Mappatura UDM |
---|---|
image_id | principal.asset_id |
instance_type | about.labels.key/value (deprecato) additional.fields |
network_Changes
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk network_Changes:
Campo log | Mappatura UDM |
---|---|
dest_ip_range | target.labels.key/value (deprecato) additional.fields |
dest_port_range | target.labels.key/value (deprecato) additional.fields |
direction | network.direction |
protocollo | network.ip_protocol |
rule_action | security_result.action_details security_result.action |
src_ip_range | principal.labels.key/value (deprecato) additional.fields |
src_port_range | principal.labels.key/value (deprecato) additional.fields |
Data_Access
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Data_Access:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
app_id | metadata.product_log_id |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_name | target.administrative_domain |
dest_url | target.url |
dvc | principal.asset.hostname, principal.asset.ip |
principal.user.email_addresses | |
oggetto | target.resource.name |
object_category | about.labels.key/value (deprecato) additional.fields |
object_id | target.user.product_object_id |
object_path | target.file.full_path |
object_size | target.file.size |
proprietario | about.labels.key/value (deprecato) additional.fields |
owner_email | about.labels.key/value (deprecato) additional.fields |
owner_id | principal.user.userid |
parent_object | target.resource.parent |
parent_object_id | about.labels.key/value (deprecato) additional.fields |
parent_object_category | about.labels.key/value (deprecato) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
tenant_id | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_agent | network.http.user_agent |
user_group | principal.user.group_identifiers(repeated) |
user_role | principal.user.attribute.roles.name (ripetuto) |
vendor_product | about.labels.key/value (deprecato) additional.fields |
vendor_product_id | about.labels.key/value (deprecato) additional.fields |
All_Databases
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Databases:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
oggetto | target.resource.name |
response_time | about.labels.key/value (deprecato) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Database_Instance
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Database_Instance:
Campo log | Mappatura UDM |
---|---|
instance_name | target.resource.attributes.key/value |
instance_version | target.resource.attributes.key/value |
process_limit | about.labels.key/value (deprecato) additional.fields |
session_limit | about.labels.key/value (deprecato) additional.fields |
Database_Query
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Database_Query:
Campo log | Mappatura UDM |
---|---|
query | about.labels.key/value (deprecato) additional.fields |
query_id | about.labels.key/value (deprecato) additional.fields |
query_time | about.labels.key/value (deprecato) additional.fields |
records_affected | about.labels.key/value (deprecato) additional.fields |
Instance_Stats
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Stats:
Campo log | Mappatura UDM |
---|---|
disponibilità | about.labels.key/value (deprecato) additional.fields |
avg_executions | about.labels.key/value (deprecato) additional.fields |
dump_area_used | about.labels.key/value (deprecato) additional.fields |
instance_reads | about.labels.key/value (deprecato) additional.fields |
instance_writes | about.labels.key/value (deprecato) additional.fields |
number_of_users | about.labels.key/value (deprecato) additional.fields |
processi | about.labels.key/value (deprecato) additional.fields |
sessioni | about.labels.key/value (deprecato) additional.fields |
sga_buffer_cache_size | about.labels.key/value (deprecato) additional.fields |
sga_buffer_hit_limit | about.labels.key/value (deprecato) additional.fields |
sga_data_dict_hit_ratio | about.labels.key/value (deprecato) additional.fields |
sga_fixed_area_size | about.labels.key/value (deprecato) additional.fields |
sga_free_memory | about.labels.key/value (deprecato) additional.fields |
sga_library_cache_size | about.labels.key/value (deprecato) additional.fields |
sga_redo_log_buffer_size | about.labels.key/value (deprecato) additional.fields |
sga_shared_pool_size | about.labels.key/value (deprecato) additional.fields |
sga_sql_area_size | about.labels.key/value (deprecato) additional.fields |
start_time | about.labels.key/value (deprecato) additional.fields |
tablespace_used | about.labels.key/value (deprecato) additional.fields |
Session_Info
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Session_Info:
Campo log | Mappatura UDM |
---|---|
buffer_cache_hit_ratio | about.labels.key/value (deprecato) additional.fields |
commit | about.labels.key/value (deprecato) additional.fields |
cpu_used | about.labels.key/value (deprecato) additional.fields |
cursore | about.labels.key/value (deprecato) additional.fields |
elapsed_time | about.labels.key/value (deprecato) additional.fields |
logical_reads | about.labels.key/value (deprecato) additional.fields |
macchina | about.hostname |
memory_sorts | about.labels.key/value (deprecato) additional.fields |
physical_reads | about.labels.key/value (deprecato) additional.fields |
seconds_in_wait | about.labels.key/value (deprecato) additional.fields |
session_id | network.session_id |
session_status | about.labels.key/value (deprecato) additional.fields |
table_scans | about.labels.key/value (deprecato) additional.fields |
wait_state | about.labels.key/value (deprecato) additional.fields |
wait_time | about.labels.key/value (deprecato) additional.fields |
Lock_Info
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Lock_Info:
Campo log | Mappatura UDM |
---|---|
last_call_minute | about.labels.key/value (deprecato) additional.fields |
lock_mode | about.labels.key/value (deprecato) additional.fields |
lock_session_id | about.labels.key/value (deprecato) additional.fields |
logon_time | about.labels.key/value (deprecato) additional.fields |
obj_name | about.labels.key/value (deprecato) additional.fields |
os_pid | target.process.pid |
serial_num | target.resource.product_object_id |
Spazio tabella
La tabella seguente elenca i campi di log e le relative mappature UDM per lo spazio tabella del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
free_bytes | about.file.size |
tablespace_name | about.resource.name |
tablespace_reads | about.labels.key/value (deprecato) additional.fields |
tablespace_status | about.labels.key/value (deprecato) additional.fields |
tablespace_writes | about.labels.key/value (deprecato) additional.fields |
Query_Stats
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Query_Stats:
Campo log | Mappatura UDM |
---|---|
indexes_hit | about.labels.key/value (deprecato) additional.fields |
query_plan_hit | about.labels.key/value (deprecato) additional.fields |
stored_procedures_called | about.labels.key/value (deprecato) additional.fields |
tables_hit | about.labels.key/value (deprecato) additional.fields |
DLP_Incidents
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk DLP_Incidents:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
categoria | security_result.category_details |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_zone | target.location.country_or_origin |
dlp_type | about.labels.key/value (deprecato) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (deprecato) additional.fields |
dvc_category | about.labels.key/value (deprecato) additional.fields |
dvc_priority | about.labels.key/value (deprecato) additional.fields |
dvc_zone | principal.asset.location.country_or_region |
oggetto | target.resource.name |
object_category | about.labels.key/value (deprecato) additional.fields |
object_path | target.file.full_path |
gravità | security_result.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
src_user_category | principal.labels.key/value (deprecato) additional.fields |
src_user_priority | principal.labels.key/value (deprecato) additional.fields |
src_zone | principal.location.country_or_origin |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
All_Email
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Email:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
delay | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
file_name | about.labels.key/value (deprecato) additional.fields |
file_size | about.file.size |
internal_message_id | metadata.product_log_id |
message_id | network.email.mail_id |
message_info | about.labels.key/value (deprecato) additional.fields |
orig_dest | target.labels.key/value (deprecato) additional.fields |
orig_recipient | about.labels.key/value (deprecato) additional.fields |
orig_src | network.email.from |
di diffusione | principal.process.command_line |
process_id | principal.process.pid |
protocollo | network.application_protocol |
destinatario | network.email.to |
recipient_count | about.labels.key/value (deprecato) additional.fields |
recipient_domain | about.labels.key/value (deprecato) additional.fields |
recipient_status | about.labels.key/value (deprecato) additional.fields |
response_time | about.labels.key/value (deprecato) additional.fields |
tentativi | about.labels.key/value (deprecato) additional.fields |
return_addr | about.labels.key/value (deprecato) additional.fields |
dimensioni | about.labels.key/value (deprecato) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_user | principal.user.email_addresses |
src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
src_user_category | principal.labels.key/value (deprecato) additional.fields |
src_user_domain | principal.administrative_domain |
src_user_priority | principal.labels.key/value (deprecato) additional.fields |
status_code | about.labels.key/value (deprecato) additional.fields |
subject | network.email.subject(repeated) |
tag | about.labels.key/value (deprecato) additional.fields |
url | about.url |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
xdelay | about.labels.key/value (deprecato) additional.fields |
xref | about.labels.key/value (deprecato) additional.fields |
Filtri
Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il filtro del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
filter_action | about.labels.key/value (deprecato) additional.fields |
filter_score | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_extra | about.labels.key/value (deprecato) additional.fields |
signature_id | metadata.product_event_type |
Porte
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Ports:
Campo log | Mappatura UDM |
---|---|
creation_time | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_port | target.port |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_port | principal.port |
src_requires_av | principal.labels.key/value (deprecato) additional.fields |
src_should_timesync | principal.labels.key/value (deprecato) additional.fields |
src_should_update | principal.labels.key/value (deprecato) additional.fields |
state | about.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
trasporto | network.ip_protocol |
transport_dest_port | target.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Processi
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Processi:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
cpu_load_percent | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_is_expected | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
mem_used | about.labels.key/value (deprecato) additional.fields |
original_file_name | src.file.full_path |
os | principal.asset.platform_software.platform_version |
parent_process | about.labels.key/value (deprecato) additional.fields |
parent_process_exec | about.labels.key/value (deprecato) additional.fields |
parent_process_id | principal.process.parent_process.parent_pid |
parent_process_guid | principal.process.parent_process.product_specific_process_id |
parent_process_name | about.labels.key/value (deprecato) additional.fields |
parent_process_path | principal.process.parent_process.command_line |
di diffusione | about.labels.key/value (deprecato) additional.fields |
process_current_directory | about.labels.key/value (deprecato) additional.fields |
process_exec | about.labels.key/value (deprecato) additional.fields |
process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
process_integrity_level | security_result.severity |
process_name | principal.process.command_line |
process_path | principal.process.file.full_path |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_id | principal.user.userid |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Servizi
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per i servizi del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_is_expected | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
servizio | target.application |
service_dll | about.labels.key/value (deprecato) additional.fields |
service_dll_path | about.file.full_path |
service_dll_hash | about.labels.key/value (deprecato) additional.fields |
service_dll_signature_exists | about.labels.key/value (deprecato) additional.fields |
service_dll_signature_verified | about.labels.key/value (deprecato) additional.fields |
service_exec | target.process.file.full_path |
service_hash | about.labels.key/value (deprecato) additional.fields |
service_id | about.labels.key/value (deprecato) additional.fields |
service_name | about.labels.key/value (deprecato) additional.fields |
service_path | about.labels.key/value (deprecato) additional.fields |
service_signature_exists | about.labels.key/value (deprecato) additional.fields |
service_signature_verified | about.labels.key/value (deprecato) additional.fields |
start_mode | about.labels.key/value (deprecato) additional.fields |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Filesystem
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Filesystem:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
file_access_time | about.labels.key/value (deprecato) additional.fields |
file_create_time | target.asset.attribute.creation_time |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_modify_time | about.labels.key/value (deprecato) additional.fields |
file_name | about.labels.key/value (deprecato) additional.fields |
file_path | target.file.full_path |
file_acl | about.labels.key/value (deprecato) additional.fields |
file_size | target.file.size |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Registro
La tabella seguente elenca i campi di log e le relative mappature UDM per il Registry del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
registry_hive | about.labels.key/value (deprecato) additional.fields |
registry_path | about.labels.key/value (deprecato) additional.fields |
registry_key_name | target.registry.registry_key |
registry_value_data | target.registry.registry_value_data |
registry_value_name | target.registry.registry_value_name |
registry_value_text | about.labels.key/value (deprecato) additional.fields |
registry_value_type | about.labels.key/value (deprecato) additional.fields |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Firme
Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per le firme del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
tag | about.labels.key/value (deprecato) additional.fields |
Signatures_vendor_product
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Signatures_vendor_product:
Campo log | Mappatura UDM |
---|---|
vendor_product | about.labels.key/value (deprecato) additional.fields |
All_Interprocess_Messaging
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Interprocess_Messaging:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
endpoint | about.labels.key/value (deprecato) additional.fields |
endpoint_version | about.labels.key/value (deprecato) additional.fields |
messaggio | about.labels.key/value (deprecato) additional.fields |
message_consumed_time | about.labels.key/value (deprecato) additional.fields |
message_correlation_id | about.labels.key/value (deprecato) additional.fields |
message_delivered_time | about.labels.key/value (deprecato) additional.fields |
message_delivery_mode | about.labels.key/value (deprecato) additional.fields |
message_expiration_time | about.labels.key/value (deprecato) additional.fields |
message_id | metadata.product.log_id |
message_priority | about.labels.key/value (deprecato) additional.fields |
message_properties | about.labels.key/value (deprecato) additional.fields |
message_received_time | about.labels.key/value (deprecato) additional.fields |
message_redelivered | about.labels.key/value (deprecato) additional.fields |
message_reply_dest | target.labels.key/value (deprecato) additional.fields |
message_type | about.labels.key/value (deprecato) additional.fields |
Parametri | about.labels.key/value (deprecato) additional.fields |
payload | about.labels.key/value (deprecato) additional.fields |
payload_type | about.labels.key/value (deprecato) additional.fields |
request_payload | about.labels.key/value (deprecato) additional.fields |
request_payload_type | about.labels.key/value (deprecato) additional.fields |
request_sent_time | about.labels.key/value (deprecato) additional.fields |
response_code | network.http.response_code |
response_payload_type | about.labels.key/value (deprecato) additional.fields |
response_received_time | about.labels.key/value (deprecato) additional.fields |
response_time | about.labels.key/value (deprecato) additional.fields |
return_message | about.labels.key/value (deprecato) additional.fields |
rpc_protocol | network.application_protocol |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
IDS_Attacks
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk IDS_Attacks:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
categoria | security_result.category_details |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (deprecato) additional.fields |
dvc_category | about.labels.key/value (deprecato) additional.fields |
dvc_priority | about.labels.key/value (deprecato) additional.fields |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value (deprecato) additional.fields |
file_path | target.file.full_path |
ids_type | about.labels.key/value (deprecato) additional.fields |
gravità | security_result.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_port | principal.port |
tag | about.labels.key/value (deprecato) additional.fields |
trasporto | network.ip_protocol |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
DS_Attacks
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk DS_Attacks:
Campo log | Mappatura UDM |
---|---|
dest_port | target.port |
All_Inventory
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Inventory:
Campo log | Mappatura UDM |
---|---|
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
abilitato | about.labels.key/value (deprecato) additional.fields |
famiglia | about.labels.key/value (deprecato) additional.fields |
hypervisor_id | about.labels.key/value (deprecato) additional.fields |
serial | principal.asset.hardware.serial_number |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
versione | about.labels.key/value (deprecato) additional.fields |
CPU
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk CPU:
Campo log | Mappatura UDM |
---|---|
cpu_cores | principal.asset.hardware.cpu_number_cores |
cpu_count | about.labels.key/value (deprecato) additional.fields |
cpu_mhz | principal.asset.hardware.cpu_clock_speed |
cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
cpu_load_percent | about.labels.key/value (deprecato) additional.fields |
cpu_time | about.labels.key/value (deprecato) additional.fields |
cpu_user_percent | about.labels.key/value (deprecato) additional.fields |
Memoria
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Memory:
Campo log | Mappatura UDM |
---|---|
mem | principal.asset.hardware.ram |
heap_committed | about.labels.key/value (deprecato) additional.fields |
heap_initial | about.labels.key/value (deprecato) additional.fields |
heap_max | about.labels.key/value (deprecato) additional.fields |
heap_used | about.labels.key/value (deprecato) additional.fields |
non_heap_committed | about.labels.key/value (deprecato) additional.fields |
non_heap_initial | about.labels.key/value (deprecato) additional.fields |
non_heap_max | about.labels.key/value (deprecato) additional.fields |
non_heap_used | about.labels.key/value (deprecato) additional.fields |
objects_pending | about.labels.key/value (deprecato) additional.fields |
mem | principal.asset.hardware.ram |
mem_committed | about.labels.key/value (deprecato) additional.fields |
mem_free | about.labels.key/value (deprecato) additional.fields |
mem_used | about.labels.key/value (deprecato) additional.fields |
scambiare | about.labels.key/value (deprecato) additional.fields |
swap_free | about.labels.key/value (deprecato) additional.fields |
swap_used | about.labels.key/value (deprecato) additional.fields |
e viceversa
La tabella seguente elenca i campi dei log e le relative mappature UDM per la rete del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dest_ip | target.ip |
dns | about.labels.key/value (deprecato) additional.fields |
inline_nat | about.labels.key/value (deprecato) additional.fields |
interfaccia | about.labels.key/value (deprecato) additional.fields |
ip | principal.asset.ip |
lb_method | about.labels.key/value (deprecato) additional.fields |
mac | principal.asset.mac |
nome | principal.resource.name |
nodo | about.labels.key/value (deprecato) additional.fields |
node_port | target.port |
src_ip | principal.ip |
vip_port | about.labels.key/value (deprecato) additional.fields |
thruput | about.labels.key/value (deprecato) additional.fields |
thruput_max | about.labels.key/value (deprecato) additional.fields |
Sistema operativo
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il sistema operativo del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
os | principal.asset.platform_software.platform_version |
committed_memory | about.labels.key/value (deprecato) additional.fields |
cpu_time | about.labels.key/value (deprecato) additional.fields |
free_physical_memory | about.labels.key/value (deprecato) additional.fields |
free_swap | about.labels.key/value (deprecato) additional.fields |
max_file_descriptors | about.labels.key/value (deprecato) additional.fields |
open_file_descriptors | about.labels.key/value (deprecato) additional.fields |
os | principal.asset.platform_software.platform_version |
os_architecture | about.labels.key/value (deprecato) additional.fields |
os_version | about.labels.key/value (deprecato) additional.fields |
physical_memory | about.labels.key/value (deprecato) additional.fields |
swap_space | about.labels.key/value (deprecato) additional.fields |
system_load | about.labels.key/value (deprecato) additional.fields |
total_processors | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
Archiviazione
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per lo spazio di archiviazione del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
matrice | about.labels.key/value (deprecato) additional.fields |
blocksize | about.labels.key/value (deprecato) additional.fields |
cluster | about.resource.resource_type = "CLUSTER" |
fd_max | about.labels.key/value (deprecato) additional.fields |
latenza | about.labels.key/value (deprecato) additional.fields |
montare | principal.resource.attribute.labels.key/value |
principale | principal.resource.parent |
read_blocks | about.labels.key/value (deprecato) additional.fields |
read_latency | about.labels.key/value (deprecato) additional.fields |
read_ops | about.labels.key/value (deprecato) additional.fields |
spazio di archiviazione | about.labels.key/value (deprecato) additional.fields |
write_blocks | about.labels.key/value (deprecato) additional.fields |
write_latency | about.labels.key/value (deprecato) additional.fields |
write_ops | about.labels.key/value (deprecato) additional.fields |
matrice | about.labels.key/value (deprecato) additional.fields |
blocksize | about.labels.key/value (deprecato) additional.fields |
cluster | about.resource.resource_type = "CLUSTER" |
fd_max | about.labels.key/value (deprecato) additional.fields |
fd_used | about.labels.key/value (deprecato) additional.fields |
latenza | about.labels.key/value (deprecato) additional.fields |
montare | about.labels.key/value (deprecato) additional.fields |
principale | principal.resource.parent |
read_blocks | about.labels.key/value (deprecato) additional.fields |
read_latency | about.labels.key/value (deprecato) additional.fields |
read_ops | about.labels.key/value (deprecato) additional.fields |
spazio di archiviazione | about.labels.key/value (deprecato) additional.fields |
storage_free | about.labels.key/value (deprecato) additional.fields |
storage_free_percent | about.labels.key/value (deprecato) additional.fields |
storage_used | about.labels.key/value (deprecato) additional.fields |
storage_used_percent | about.labels.key/value (deprecato) additional.fields |
write_blocks | about.labels.key/value (deprecato) additional.fields |
write_latency | about.labels.key/value (deprecato) additional.fields |
write_ops | about.labels.key/value (deprecato) additional.fields |
error_code | security_result.description |
operazione | about.labels.key/value (deprecato) additional.fields |
storage_name | about.resource.name |
Utente
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per l'utente del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
interactive | about.labels.key/value (deprecato) additional.fields |
password | about.labels.key/value (deprecato) additional.fields |
shell | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_id | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
Virtual_OS
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Virtual_OS:
Campo log | Mappatura UDM |
---|---|
hypervisor | about.labels.key/value (deprecato) additional.fields |
Snapshot
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo snapshot del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dimensioni | about.file.size |
snapshot | about.labels.key/value (deprecato) additional.fields |
tempo | about.labels.key/value (deprecato) additional.fields |
JVM
La tabella seguente elenca i campi di log e le relative mappature UDM per la JVM del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
jvm_description | security_result.description |
tag | about.labels.key/value (deprecato) additional.fields |
Filettatura
La tabella seguente elenca i campi di log e le relative mappature UDM per la funzionalità di threading del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
cm_enabled | about.labels.key/value (deprecato) additional.fields |
cm_supported | about.labels.key/value (deprecato) additional.fields |
cpu_time_enabled | about.labels.key/value (deprecato) additional.fields |
cpu_time_supported | about.labels.key/value (deprecato) additional.fields |
current_cpu_time | about.labels.key/value (deprecato) additional.fields |
current_user_time | about.labels.key/value (deprecato) additional.fields |
daemon_thread_count | about.labels.key/value (deprecato) additional.fields |
omu_supported | about.labels.key/value (deprecato) additional.fields |
peak_thread_count | about.labels.key/value (deprecato) additional.fields |
synch_supported | about.labels.key/value (deprecato) additional.fields |
thread_count | about.labels.key/value (deprecato) additional.fields |
threads_started | about.labels.key/value (deprecato) additional.fields |
Runtime
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Runtime:
Campo log | Mappatura UDM |
---|---|
process_name | principal.process.command_line |
start_time | about.labels.key/value (deprecato) additional.fields |
uptime | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
versione | about.labels.key/value (deprecato) additional.fields |
Compilation
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per la compilazione del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
compilation_time | about.labels.key/value (deprecato) additional.fields |
Caricamento dei corsi
Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il set di dati Splunk Classloading:
Campo log | Mappatura UDM |
---|---|
current_loaded | about.labels.key/value (deprecato) additional.fields |
total_loaded | about.labels.key/value (deprecato) additional.fields |
total_unloaded | about.labels.key/value (deprecato) additional.fields |
Malware_Attacks
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Attacks:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
categoria | security_result.category_details |
data | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_nt_domain | target.administrative_domain |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value (deprecato) additional.fields |
file_path | target.file.full_path |
gravità | security_result.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_user | principal.user.user_display_name |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
url | about.url |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Malware_Operations
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Malware_Operations:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_nt_domain | target.labels.key/value (deprecato) additional.fields |
dest_nt_domain | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_requires_av | target.labels.key/value (deprecato) additional.fields |
product_version | about.labels.key/value (deprecato) additional.fields |
signature_version | security_result.rule_version |
tag | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Malware_Operations
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Malware_Operations:
Campo log | Mappatura UDM |
---|---|
dest_category | target.labels.key/value (deprecato) additional.fields |
DNS
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati DNS di Splunk:
Campo log | Mappatura UDM |
---|---|
additional_answer_count | about.labels.key/value (deprecato) additional.fields |
rispondi | network.dns.answer.data |
answer_count | about.labels.key/value (deprecato) additional.fields |
authority_answer_count | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_port | target.port |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
message_type | about.labels.key/value (deprecato) additional.fields |
nome | about.labels.key/value (deprecato) additional.fields |
query | network.dns.questions.name |
query_count | about.labels.key/value (deprecato) additional.fields |
query_type | network.dns.questions.type |
record_type | network.dns.answer.type(uint32) |
reply_code | about.labels.key/value (deprecato) additional.fields |
reply_code_id | network.dns.response_code |
response_time | about.labels.key/value (deprecato) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_port | principal.port |
src_priority | principal.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
transaction_id | network.dns.id |
trasporto | network.ip_protocol |
ttl | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
All_Sessions
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Sessions:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_dns | target.labels.key/value (deprecato) additional.fields |
dest_ip | network.dhcp.ciaddr |
dest_mac | network.dhcp.chaddr |
dest_nt_host | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
duration | network.session_duration |
response_time | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_dns | principal.labels.key/value (deprecato) additional.fields |
src_ip | principal.ip |
src_mac | principal.mac |
src_nt_host | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
DHCP
Nella tabella seguente sono elencati i campi dei log e le relative mappature UDM per il set di dati DHCP di Splunk:
Campo log | Mappatura UDM |
---|---|
lease_duration | network.dhcp.lease_time_second |
lease_scope | about.labels.key/value (deprecato) additional.fields |
All_Traffic
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk All_Traffic:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | network.application_protocol |
byte | about.labels.key/value (deprecato) additional.fields |
bytes_in | network.received_bytes |
bytes_out | network.sent_bytes |
canale | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_interface | target.labels.key/value (deprecato) additional.fields |
dest_ip | target.ip |
dest_mac | target.mac |
dest_port | target.port |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_translated_ip | target.nat_ip |
dest_translated_port | target.nat_port |
dest_zone | target.location.country_or_origin |
direction | network.direction |
duration | network.session_duration |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (deprecato) additional.fields |
dvc_category | about.labels.key/value (deprecato) additional.fields |
dvc_ip | about.labels.key/value (deprecato) additional.fields |
dvc_mac | principal.asset.mac |
dvc_priority | about.labels.key/value (deprecato) additional.fields |
dvc_zone | principal.asset.location.country_or_region |
flow_id | about.labels.key/value (deprecato) additional.fields |
icmp_code | about.labels.key/value (deprecato) additional.fields |
icmp_type | about.labels.key/value (deprecato) additional.fields |
pacchetti | about.labels.key/value (deprecato) additional.fields |
packets_in | about.labels.key/value (deprecato) additional.fields |
packets_out | about.labels.key/value (deprecato) additional.fields |
protocollo | about.labels.key/value (deprecato) additional.fields |
protocol_version | about.labels.key/value (deprecato) additional.fields |
response_time | about.labels.key/value (deprecato) additional.fields |
regola | security_result.rule_id |
session_id | network.session_id |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_interface | principal.labels.key/value (deprecato) additional.fields |
src_ip | principal.ip |
src_mac | principal.mac |
src_port | principal.port |
src_priority | principal.labels.key/value (deprecato) additional.fields |
src_translated_ip | principal.nat_ip |
src_translated_port | principal.nat_port |
src_zone | principal.location.country_or_origin |
ssid | about.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
tcp_flag | about.labels.key/value (deprecato) additional.fields |
trasporto | network.ip_protocol |
tos | about.labels.key/value (deprecato) additional.fields |
ttl | network.dns.additional.ttl |
utente | principal.user.userid |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_account | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
vlan | about.labels.key/value (deprecato) additional.fields |
wifi | about.labels.key/value (deprecato) additional.fields |
All_Performance
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Performance:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
hypervisor_id | about.labels.key/value (deprecato) additional.fields |
resource_type | about.labels.key/value (deprecato) additional.fields |
tag | about.labels.key/value (deprecato) additional.fields |
Strutture
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Facilities:
Campo log | Mappatura UDM |
---|---|
fan_speed | about.labels.key/value (deprecato) additional.fields |
power | about.labels.key/value (deprecato) additional.fields |
temperatura | about.labels.key/value (deprecato) additional.fields |
Timesync
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Timesync:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
Tempo di attività
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Uptime:
Campo log | Mappatura UDM |
---|---|
uptime | about.labels.key/value (deprecato) additional.fields |
View_Activity
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk View_Activity:
Campo log | Mappatura UDM |
---|---|
app | target.application |
speso | about.labels.key/value (deprecato) additional.fields |
uri | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
visualizza | about.labels.key/value (deprecato) additional.fields |
Datamodel_Acceleration
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Datamodel_Acceleration:
Campo log | Mappatura UDM |
---|---|
access_count | about.labels.key/value (deprecato) additional.fields |
access_time | about.labels.key/value (deprecato) additional.fields |
app | target.application |
bucket | about.labels.key/value (deprecato) additional.fields |
buckets_size | about.labels.key/value (deprecato) additional.fields |
completato | about.labels.key/value (deprecato) additional.fields |
cron | about.labels.key/value (deprecato) additional.fields |
datamodel | about.labels.key/value (deprecato) additional.fields |
digest | about.labels.key/value (deprecato) additional.fields |
più recenti | about.labels.key/value (deprecato) additional.fields |
is_inprogress | about.labels.key/value (deprecato) additional.fields |
last_error | about.labels.key/value (deprecato) additional.fields |
last_sid | about.labels.key/value (deprecato) additional.fields |
più recente | about.labels.key/value (deprecato) additional.fields |
mod_time | about.labels.key/value (deprecato) additional.fields |
dei messaggi | about.labels.key/value (deprecato) additional.fields |
dimensioni | about.file.size |
summary_id | about.labels.key/value (deprecato) additional.fields |
Search_Activity
La tabella seguente elenca i campi del log e le relative mappature UDM per il set di dati Splunk Search_Activity:
Campo log | Mappatura UDM |
---|---|
host | about.hostname |
info | about.labels.key/value (deprecato) additional.fields |
search | about.labels.key/value (deprecato) additional.fields |
search_et | about.labels.key/value (deprecato) additional.fields |
search_lt | about.labels.key/value (deprecato) additional.fields |
search_type | about.labels.key/value (deprecato) additional.fields |
origine | principal.labels.key/value (deprecato) additional.fields |
sourcetype | principal.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Scheduler_Activity:
Campo log | Mappatura UDM |
---|---|
app | target.application |
host | about.hostname |
savedsearch_name | about.labels.key/value (deprecato) additional.fields |
sid | about.labels.key/value (deprecato) additional.fields |
origine | principal.labels.key/value (deprecato) additional.fields |
sourcetype | principal.labels.key/value (deprecato) additional.fields |
splunk_server | principal.ip, principal.hostname |
stato | security_result.summary |
utente | principal.user.user_display_name |
Web_Service_Errors
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Web_Service_Errors:
Campo log | Mappatura UDM |
---|---|
host | about.hostname |
origine | principal.labels.key/value (deprecato) additional.fields |
sourcetype | principal.labels.key/value (deprecato) additional.fields |
event_id | security_result.rule_name |
Modular_Actions
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Modular_Actions:
Campo log | Mappatura UDM |
---|---|
action_mode | about.labels.key/value (deprecato) additional.fields |
action_status | about.labels.key/value (deprecato) additional.fields |
app | target.application |
duration | network.session_duration |
componente | about.labels.key/value (deprecato) additional.fields |
orig_rid | about.labels.key/value (deprecato) additional.fields |
orig_sid | about.labels.key/value (deprecato) additional.fields |
sbarazzarsi | about.labels.key/value (deprecato) additional.fields |
search_name | about.labels.key/value (deprecato) additional.fields |
action_name | security_result.action_details |
firma | metadata.description |
sid | about.labels.key/value (deprecato) additional.fields |
utente | about.labels.key/value (deprecato) additional.fields |
All_Ticket_Management
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Ticket_Management:
Campo log | Mappatura UDM |
---|---|
affect_dest | target.labels.key/value (deprecato) additional.fields |
commenti | about.labels.key/value (deprecato) additional.fields |
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
priorità | security_result.priority_details |
gravità | security_result.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
splunk_id | about.labels.key/value (deprecato) additional.fields |
splunk_realm | about.labels.key/value (deprecato) additional.fields |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
src_user_category | principal.labels.key/value (deprecato) additional.fields |
src_user_priority | principal.labels.key/value (deprecato) additional.fields |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
ticket_id | target.user.attribute.label.ley/value |
time_submitted | principal.user.attribute.creation_time |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Cambia
La tabella seguente elenca i campi dei log e le relative mappature UDM per la modifica del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
modifica | about.labels.key/value (deprecato) additional.fields |
Incidente
Nella tabella seguente sono elencati i campi dei log e le relative mappature UDM per il set di dati Splunk Incident:
Campo log | Mappatura UDM |
---|---|
incidente | about.labels.key/value (deprecato) additional.fields |
Problema
La tabella seguente elenca i campi di log e le relative mappature UDM per il problema del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
problema | about.labels.key/value (deprecato) additional.fields |
Aggiornamenti
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per gli aggiornamenti del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_should_update | target.labels.key/value (deprecato) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value (deprecato) additional.fields |
gravità | security_result.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
stato | security_result.summary |
tag | about.labels.key/value (deprecato) additional.fields |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Vulnerabilità
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Vulnerabilities:
Campo log | Mappatura UDM |
---|---|
bugtraq | about.labels.key/value (deprecato) additional.fields |
categoria | security_result.category_details |
cert | about.labels.key/value (deprecato) additional.fields |
cve | vulnerabilites.cve_description |
cvss | vulnerabilites.cvss_base_score |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (deprecato) additional.fields |
dvc_category | about.labels.key/value (deprecato) additional.fields |
dvc_priority | about.labels.key/value (deprecato) additional.fields |
msft | about.labels.key/value (deprecato) additional.fields |
mskb | about.labels.key/value (deprecato) additional.fields |
gravità | extensions.vulns.vulnerabilites.severity |
severity_id | about.labels.key/value (deprecato) additional.fields |
firma | metadata.description |
signature_id | metadata.product_event_type |
tag | about.labels.key/value (deprecato) additional.fields |
url | extensions.vulns.vulnerabilites.about.url |
utente | extensions.vulns.vulnerabilites.about.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
xref | about.labels.key/value (deprecato) additional.fields |
Web
La seguente tabella elenca i campi dei log e le relative mappature UDM per il set di dati web di Splunk:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
byte | about.labels.key/value (deprecato) additional.fields |
bytes_in | network.received_bytes |
bytes_out | network.sent_bytes |
memorizzati nella cache | about.labels.key/value (deprecato) additional.fields |
categoria | security_result.category_details |
biscotto | about.labels.key/value (deprecato) additional.fields |
dest | target.ip target.hostname target.labels.key/value (deprecato) |
dest_bunit | target.labels.key/value (deprecato) additional.fields |
dest_category | target.labels.key/value (deprecato) additional.fields |
dest_priority | target.labels.key/value (deprecato) additional.fields |
dest_port | target.port |
duration | network.session_duration |
http_content_type | about.labels.key/value (deprecato) additional.fields |
http_method | network.http.method |
http_referrer | network.http.referral_url |
http_referrer_domain | about.labels.key/value (deprecato) additional.fields |
http_user_agent | network.http.user_agent |
http_user_agent_length | about.labels.key/value (deprecato) additional.fields |
response_time | about.labels.key/value (deprecato) additional.fields |
sito | about.labels.key/value (deprecato) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
src_bunit | principal.labels.key/value (deprecato) additional.fields |
src_category | principal.labels.key/value (deprecato) additional.fields |
src_priority | principal.labels.key/value (deprecato) additional.fields |
stato | network.http.response_code |
tag | about.labels.key/value (deprecato) additional.fields |
uri_path | about.labels.key/value (deprecato) additional.fields |
uri_query | about.labels.key/value (deprecato) additional.fields |
url | about.url |
url_domain | about.asset.network_domain |
url_length | about.labels.key/value (deprecato) additional.fields |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value (deprecato) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (deprecato) additional.fields |
Tipi di eventi UDM
Nella tabella seguente sono elencati i tag Splunk e i tipi di eventi UDM corrispondenti:
Modello dati | Tag Splunk | Tipo di evento UDM |
---|---|---|
Avvisi | avviso | STATUS_UPDATE |
Autenticazione | autenticazione | USER_UNCATEGORIZED |
Certificato | certificato | NETWORK_UNCATEGORIZED |
Modifica | modifica | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Accesso ai dati | dati, accesso | USER_RESOURCE_ACCESS |
Database | database | USER_RESOURCE_ACCESS |
Database | database, istanza, statistiche | STATUS_UPDATE |
Database | database, istanza, stato | STATUS_UPDATE |
Database | database, istanza, blocco | STATUS_UPDATE |
Database | database, query | STATUS_UPDATE |
Database | database, query, tablespace | STATUS_UPDATE |
Database | database, query, statistiche | STATUS_UPDATE |
Data Loss Prevention | dlp, incident | SCAN_UNCATEGORIZED |
EMAIL_UNCATEGORIZED | ||
email, recapito | EMAIL_TRANSACTION | |
Endpoint | ascolto, porta | SERVICE_UNSPECIFIED |
Endpoint | processo, report | PROCESS_UNCATEGORIZED |
Endpoint | servizio, report | SERVICE_UNSPECIFIED |
Endpoint | endpoint, filesystem | FILE_UNCATEGORIZED |
Endpoint | endpoint, registry | REGISTRY_UNCATEGORIZED |
Firma evento | track_event_signature | STATUS_UPDATE |
Inter Process Messaging | messaggistica | STATUS_UPDATE |
Rilevamento delle intrusioni | ids, attack | SERVICE_UNSPECIFIED |
Inventario | inventario | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Java Virtual Machine (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Malware | malware | STATUS_UPDATE |
Risoluzione della rete(DNS) | rete, risoluzione, dns | NETWORK_DNS |
Sessioni di rete | rete, sessione | NETWORK_CONNECTION |
Sessioni di rete | network, session, dhcp | NETWORK_DHCP |
Traffico di rete | rete, comunicare | NETWORK_CONNECTION |
Prestazioni | prestazioni | SERVICE_UNSPECIFIED |
Audit log di Splunk | modaction | STATUS_UPDATE |
Gestione dei ticket | vendita di biglietti | STATUS_UPDATE |
Gestione dei ticket | vendita di biglietti, modifica | STATUS_UPDATE |
Aggiornamenti | update | STATUS_UPDATE |
Vulnerabilità | report, vulnerabilità | SCAN_UNCATEGORIZED |
Web | web | NETWORK_UNCATEGORIZED |