Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Splunk CIM

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter des journaux Splunk CIM (Common Information Model) en configurant Splunk et un transmetteur Google Security Operations. Ce document liste également les types de journaux et les versions de Splunk compatibles.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Présentation

Le schéma d'architecture de déploiement suivant montre comment les agents Splunk sont configurés pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut différer de cette représentation et être plus complexe.

Architecture de déploiement

Le schéma d'architecture montre les composants suivants :

Source de données : système à surveiller dans lequel Splunk est installé.
Splunk : collecte des informations à partir de la source de données et les transmet au redirecteur Google Security Operations.
Transmetteur Google Security Operations : composant logiciel léger déployé dans le réseau du client pour transférer les journaux vers Google Security Operations.
Google Security Operations : conserve et analyse les journaux du serveur Fleet.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion SPLUNK.

Avant de commencer

Utilisez la version 5.0 de Splunk, compatible avec l'analyseur Google Security Operations.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

Configurer un agent Splunk et un redirecteur Google Security Operations

Configurez Splunk Enterprise.
Installez un agent conforme au CIM depuis Splunkbase.
Configurez un redirecteur Google Security Operations.

Configurez le redirecteur Google Security Operations pour envoyer les journaux au système Google Security Operations. Voici un exemple de configuration de redirecteur Google Security Operations :

  - splunk:
      common:
        enabled: true
        data_type: SPLUNK
        batch_n_seconds: 10
        batch_n_bytes: 819200
      url: <SPLUNK_URL>
      query_cim: true
      is_ignore_cert: true
      query_string: datamodel Network_Traffic All_Traffic flat

Éléments à prendre en compte pour rédiger des requêtes de recherche Splunk

Splunk possède son propre langage de recherche, qui est semblable à SQL. Assurez-vous d'utiliser la syntaxe appropriée pour votre requête de recherche. Tenez compte des caractéristiques de recherche suivantes lorsque vous créez une requête :

Caractère d'échappement

Si une valeur de chaîne contient un guillemet double ", utilisez des barres obliques inverses pour échapper le guillemet. Sinon, la recherche interprète mal la fin de la valeur de la chaîne.

Par exemple, pour rechercher une chaîne WHERE _raw="The user "vpatel" isn't authenticated.", vous devez utiliser la séquence \" pour rechercher un guillemet double littéral.

Écrivez la chaîne de recherche au format suivant :

WHERE _raw="The user \"vpatel\" isn't authenticated."

Pour échapper une barre oblique inverse \ , utilisez la séquence \\ pour rechercher une barre oblique inverse.

Par exemple, si une chaîne ressemble à C:\user\abc, elle doit être écrite C:\\user\\abc.

Recherche dont la syntaxe est incorrecte

Si une section de la requête n'est pas valide, la requête entière n'est pas évaluée et un message d'erreur s'affiche.

Prenons l'exemple suivant dans lequel l'option de mode de recherche est manquante dans la requête :

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

Dans cet exemple, l'option de mode de recherche est manquante dans la requête. L'erreur suivante est alors renvoyée :

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Compatibilité avec plusieurs modèles de données

Splunk accepte une seule requête volumineuse qui couvre les modèles de données. La requête de recherche suivante extrait des données de plusieurs modèles de données :

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Voici les composants de cette requête qui s'étend sur les modèles de données :

Multisearch : la requête doit commencer par le mot multisearch. Une requête pour un modèle de données doit être placée entre crochets [ ] et commencer par une barre verticale |.

Network_Traffic : nom du modèle de données.

All_Traffic : ensemble de données du modèle de données Network_Traffic.

flat : mode Recherche. Les autres options sont search et acceleration_search.

Nous vous recommandons d'utiliser la requête Splunk suivante pour effectuer une recherche dans plusieurs modèles de données :

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Types de journaux et modèles de données compatibles

Modèle de données Splunk	Compatible
Alertes	Oui
État de l'application (obsolète)	Non
Authentification	Oui
Certificats	Oui
Modifier	Oui
Analyse des modifications (obsolète)	Non
Accès aux données	Oui
Bases de données	Oui
Protection contre la perte de données	Oui
E-mail	Oui
Point de terminaison	Oui
Signatures d'événements	Oui
Messagerie interprocessus	Oui
Détection des intrusions	Oui
Inventaire	Oui
Machines virtuelles Java (JVM)	Oui
Logiciels malveillants	Oui
Résolution réseau (DNS)	Oui
Sessions réseau	Oui
Trafic réseau	Oui
Performances	Oui
Journaux d'audit Splunk	Oui
Gestion des demandes	Oui
Changements	Oui
Failles	Oui
Web	Oui

Formats de journaux CIM Splunk compatibles

L'analyseur CIM Splunk est compatible avec les journaux au format JSON.

Exemples de journaux Splunk CIM compatibles

JSON

{
  "Channel": "Microsoft-Windows-Sysmon/Operational",
  "Computer": "dhcp-ad01.testdhcp2.local",
  "EventChannel": "Microsoft-Windows-Sysmon/Operational",
  "EventCode": "5",
  "EventData_Xml": "<Data Name='RuleName'>-<\\/Data><Data Name='UtcTime'>2021-10-22 06:38:15.540<\\/Data><Data Name='ProcessGuid'>{8AE2CCCF-5C56-6172-84FE-000000001500}<\\/Data><Data Name='ProcessId'>5616<\\/Data><Data Name='Image'>C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe<\\/Data>",
  "EventDescription": "Process terminated",
  "EventID": "5",
  "EventRecordID": "157268",
  "Guid": "'{5770385F-C22A-43E0-BF4C-06F5698FFBD9}'",
  "Image": "C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe",
  "Keywords": "0x8000000000000000",
  "Level": "4",
  "Name": "'Microsoft-Windows-Sysmon'",
  "Opcode": "0",
  "ProcessGuid": "{8AE2CCCF-5C56-6172-84FE-000000001500}",
  "ProcessID": "'2888'",
  "ProcessId": "5616",
  "RecordID": "157268",
  "RecordNumber": "157268",
  "RuleName": "-",
  "SecurityID": "S-1-5-18",
  "SystemTime": "'2021-10-22T06:38:15.548776000Z'",
  "System_Props_Xml": "<Provider Name='Microsoft-Windows-Sysmon' Guid='{5770385F-C22A-43E0-BF4C-06F5698FFBD9}'/><EventID>5<\\/EventID><Version>3<\\/Version><Level>4<\\/Level><Task>5<\\/Task><Opcode>0<\\/Opcode><Keywords>0x8000000000000000<\\/Keywords><TimeCreated SystemTime='2021-10-22T06:38:15.548776000Z'/><EventRecordID>157268<\\/EventRecordID><Correlation/><Execution ProcessID='2888' ThreadID='3648'/><Channel>Microsoft-Windows-Sysmon/Operational<\\/Channel><Computer>dhcp-ad01.testdhcp2.local<\\/Computer><Security UserID='S-1-5-18'/>",
  "Task": "5",
  "ThreadID": "'3648'",
  "TimeCreated": "2021-10-22T06:38:15.548776000Z",
  "UserID": "'S-1-5-18'",
  "UtcTime": "2021-10-22 06:38:15.540",
  "Version": "3",
  "_raw": "<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Sysmon' Guid='{5770385F-C22A-43E0-BF4C-06F5698FFBD9}'/><EventID>5<\\/EventID><Version>3<\\/Version><Level>4<\\/Level><Task>5<\\/Task><Opcode>0<\\/Opcode><Keywords>0x8000000000000000<\\/Keywords><TimeCreated SystemTime='2021-10-22T06:38:15.548776000Z'/><EventRecordID>157268<\\/EventRecordID><Correlation/><Execution ProcessID='2888' ThreadID='3648'/><Channel>Microsoft-Windows-Sysmon/Operational<\\/Channel><Computer>dhcp-ad01.testdhcp2.local<\\/Computer><Security UserID='S-1-5-18'/><\\/System><EventData><Data Name='RuleName'>-<\\/Data><Data Name='UtcTime'>2021-10-22 06:38:15.540<\\/Data><Data Name='ProcessGuid'>{8AE2CCCF-5C56-6172-84FE-000000001500}<\\/Data><Data Name='ProcessId'>5616<\\/Data><Data Name='Image'>C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe<\\/Data><\\/EventData><\\/Event>",
  "_time": "2021-10-22T12:08:15.540+0530",
  "action": "blocked",
  "date_hour": "6",
  "date_mday": "22",
  "date_minute": "38",
  "date_month": "october",
  "date_second": "15",
  "date_wday": "friday",
  "date_year": "2021",
  "date_zone": "0",
  "dest": "dummy.domain.com",
  "dvc_nt_host": "DHCP-AD01",
  "event_id": "157268",
  "eventtype": [
    "endpoint_services_processes",
    "ms-sysmon-process",
    "windows_event_signature"
  ],
  "host": "DHCP-AD01",
  "id": "157268",
  "index": "main",
  "linecount": "1",
  "os": "Microsoft Windows",
  "process": "C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe",
  "process_exec": "splunk-optimize.exe",
  "process_guid": "{8AE2CCCF:5C56:6172:84FE-000000001500}",
  "process_id": "5616",
  "process_name": "splunk-optimize.exe",
  "process_path": "C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe",
  "punct": "<_='://../////'><><_='--'_='{----}'/><><\\/><><\\/><><",
  "signature": "Process terminated",
  "signature_id": "5",
  "source": "XmlWinEventLog:Microsoft-Windows-Sysmon/Operational",
  "sourcetype": "XmlWinEventLog",
  "splunk_server": "dhcp-ad01",
  "tag": [
    "process",
    "report",
    "track_event_signatures"
  ],
  "tag2001:db8::eventtype": [
    "process",
    "report",
    "track_event_signatures"
  ],
  "timeendpos": "671",
  "timestartpos": "648",
  "user_id": "'dummy-user-id'",
  "vendor_product": "Microsoft Sysmon"
}

Référence du mappage de champs

Cette section explique comment l'analyseur Google Security Operations mappe les champs de journaux Splunk aux champs du modèle de données unifié (UDM) Google Security Operations pour les ensembles de données. Pour en savoir plus, consultez la documentation Splunk pour la version 5.0.1.

Alertes

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour les alertes du jeu de données Splunk :

Champ du journal	Mappage UDM
application	observer.application
description	security_result.description
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_type	target.resource.resource_type
id	metadata.product_log_id
mitre_technique_id	security_result.detection_fields.labels.key/value
de gravité,	security_result.severity
severity_id	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	security_result.rule_name
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_type	principal.resource.resource_type
tag	about.labels.key/value (obsolète) additional.fields
type	security_result.alert_state
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_name	principal.user.userid
user_priority	principal.user.attribute.label.key/value
vendor_account	about.labels.key/value (obsolète) additional.fields
vendor_region	about.location.country_or_region

Authentification

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Authentification" :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
application	target.application
authentication_method	about.labels.key/value (obsolète) additional.fields
authentication_service	extension.auth.auth_details
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_nt_domain	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
reason	security_result.summary
response_time	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_nt_domain	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value (obsolète) additional.fields
src_user_category	principal.labels.key/value (obsolète) additional.fields
src_user_id	principal.user.userid
src_user_priority	principal.labels.key/value (obsolète) additional.fields
src_user_role	principal.user.attribute.roles.name (répété)
src_user_type	principal.user.attribute.roles.type
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_agent	network.http.user_agent
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_id	principal.user.userid
user_priority	principal.user.attribute.label.key/value
user_role	principal.user.attribute.roles.name (répété)
user_type	principal.user.attribute.roles.type
vendor_account	about.labels.key/value (obsolète) additional.fields

All_Certificates

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Certificates :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_port	target.port
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
response_time	about.labels.key/value (obsolète) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_port	principal.port
src_priority	principal.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields
transport	network.ip_protocol

SSL

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk SSL :

Champ du journal	Mappage UDM
ssl_end_time	network.tls.server.certificate.not_after
ssl_engine	about.labels.key/value (obsolète) additional.fields
ssl_hash	about.labels.key/value (obsolète) additional.fields
ssl_is_valid	about.labels.key/value (obsolète) additional.fields
ssl_issuer	network.tls.server.certificate.issuer
ssl_issuer_common_name	about.labels.key/value (obsolète) additional.fields
ssl_issuer_email	about.labels.key/value (obsolète) additional.fields
ssl_issuer_email_domain	about.labels.key/value (obsolète) additional.fields
ssl_issuer_locality	about.labels.key/value (obsolète) additional.fields
ssl_issuer_organization	about.labels.key/value (obsolète) additional.fields
ssl_issuer_state	about.labels.key/value (obsolète) additional.fields
ssl_issuer_street	about.labels.key/value (obsolète) additional.fields
ssl_issuer_unit	about.labels.key/value (obsolète) additional.fields
ssl_name	about.labels.key/value (obsolète) additional.fields
ssl_policies	about.labels.key/value (obsolète) additional.fields
ssl_publickey	about.labels.key/value (obsolète) additional.fields
ssl_publickey_algorithm	about.labels.key/value (obsolète) additional.fields
ssl_serial	network.tls.server.certificate.serial
ssl_session_id	network.session_id
ssl_signature_algorithm	about.labels.key/value (obsolète) additional.fields
ssl_start_time	network.tls.server.certificate.not_before
ssl_subject	network.tls.server.certificate.subject
ssl_subject_common_name	about.labels.key/value (obsolète) additional.fields
ssl_subject_email	about.labels.key/value (obsolète) additional.fields
ssl_subject_email_domain	about.labels.key/value (obsolète) additional.fields
ssl_subject_locality	about.labels.key/value (obsolète) additional.fields
ssl_subject_organization	about.labels.key/value (obsolète) additional.fields
ssl_subject_state	about.labels.key/value (obsolète) additional.fields
ssl_subject_street	about.labels.key/value (obsolète) additional.fields
ssl_subject_unit	about.labels.key/value (obsolète) additional.fields
ssl_validity_window	about.labels.key/value (obsolète) additional.fields
ssl_version	network.tls.server.certificate.version

All_Changes

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Changes :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
change_type	security_result.category_details
commande	principal.process.command_line
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
objet	target.resource.name
object_attrs	about.labels.key/value (obsolète) additional.fields
object_category	about.labels.key/value (obsolète) additional.fields
object_id	target.user.product_object_id
object_path	target.file.full_path
résultat	metadata.description
result_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	target.user.userid
user_agent	network.http.user_agent
user_name	principal.user.user_display_name, target.labels.key/value
user_type	principal.user.attribute.roles.type, target.user.attribute.roles.type
vendor_account	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields
vendor_region	about.location.country_or_region

Account_Management

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Account_Management :

Champ du journal	Mappage UDM
dest_nt_domain	target.administrative_domain
src_nt_domain	principal.administrative_domain
src_user	principal.user.userid
src_user_bunit	principal.labels.key/value (obsolète) additional.fields
src_user_category	principal.labels.key/value (obsolète) additional.fields
src_user_priority	principal.labels.key/value (obsolète) additional.fields
src_user_name	principal.labels.key/value (obsolète) additional.fields
src_user_type	principal.user.attribute.roles.type

Instance_Changes

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Changes :

Champ du journal	Mappage UDM
image_id	principal.asset_id
instance_type	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

image_id

principal.asset_id

instance_type

about.labels.key/value (obsolète)

additional.fields

network_Changes

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk network_Changes :

Champ du journal	Mappage UDM
dest_ip_range	target.labels.key/value (deprecated) additional.fields
dest_port_range	target.labels.key/value (deprecated) additional.fields
direction	network.direction
protocol	network.ip_protocol
rule_action	security_result.action_details security_result.action
src_ip_range	principal.labels.key/value (obsolète) additional.fields
src_port_range	principal.labels.key/value (obsolète) additional.fields

Data_Access

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Data_Access :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
application	target.application
app_id	metadata.product_log_id
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_name	target.administrative_domain
dest_url	target.url
dvc	principal.asset.hostname, principal.asset.ip
e-mail	principal.user.email_addresses
objet	target.resource.name
object_category	about.labels.key/value (obsolète) additional.fields
object_id	target.user.product_object_id
object_path	target.file.full_path
object_size	target.file.size
owner	about.labels.key/value (obsolète) additional.fields
owner_email	about.labels.key/value (obsolète) additional.fields
owner_id	principal.user.userid
parent_object	target.resource.parent
parent_object_id	about.labels.key/value (obsolète) additional.fields
parent_object_category	about.labels.key/value (obsolète) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
tenant_id	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_agent	network.http.user_agent
user_group	principal.user.group_identifiers(repeated)
user_role	principal.user.attribute.roles.name (répété)
vendor_product	about.labels.key/value (obsolète) additional.fields
vendor_product_id	about.labels.key/value (obsolète) additional.fields

All_Databases

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Databases :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
objet	target.resource.name
response_time	about.labels.key/value (obsolète) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

Database_Instance

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Instance :

Champ du journal	Mappage UDM
instance_name	target.resource.attributes.key/value
instance_version	target.resource.attributes.key/value
process_limit	about.labels.key/value (obsolète) additional.fields
session_limit	about.labels.key/value (obsolète) additional.fields

Database_Query

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Query :

Champ du journal	Mappage UDM
requête	about.labels.key/value (obsolète) additional.fields
query_id	about.labels.key/value (obsolète) additional.fields
query_time	about.labels.key/value (obsolète) additional.fields
records_affected	about.labels.key/value (obsolète) additional.fields

Instance_Stats

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Stats :

Champ du journal	Mappage UDM
disponibilité	about.labels.key/value (obsolète) additional.fields
avg_executions	about.labels.key/value (obsolète) additional.fields
dump_area_used	about.labels.key/value (obsolète) additional.fields
instance_reads	about.labels.key/value (obsolète) additional.fields
instance_writes	about.labels.key/value (obsolète) additional.fields
number_of_users	about.labels.key/value (obsolète) additional.fields
processes	about.labels.key/value (obsolète) additional.fields
sessions	about.labels.key/value (obsolète) additional.fields
sga_buffer_cache_size	about.labels.key/value (obsolète) additional.fields
sga_buffer_hit_limit	about.labels.key/value (obsolète) additional.fields
sga_data_dict_hit_ratio	about.labels.key/value (obsolète) additional.fields
sga_fixed_area_size	about.labels.key/value (obsolète) additional.fields
sga_free_memory	about.labels.key/value (obsolète) additional.fields
sga_library_cache_size	about.labels.key/value (obsolète) additional.fields
sga_redo_log_buffer_size	about.labels.key/value (obsolète) additional.fields
sga_shared_pool_size	about.labels.key/value (obsolète) additional.fields
sga_sql_area_size	about.labels.key/value (obsolète) additional.fields
start_time	about.labels.key/value (obsolète) additional.fields
tablespace_used	about.labels.key/value (obsolète) additional.fields

Session_Info

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Session_Info :

Champ du journal	Mappage UDM
buffer_cache_hit_ratio	about.labels.key/value (obsolète) additional.fields
commits	about.labels.key/value (obsolète) additional.fields
cpu_used	about.labels.key/value (obsolète) additional.fields
cursor	about.labels.key/value (obsolète) additional.fields
elapsed_time	about.labels.key/value (obsolète) additional.fields
logical_reads	about.labels.key/value (obsolète) additional.fields
machine	about.hostname
memory_sorts	about.labels.key/value (obsolète) additional.fields
physical_reads	about.labels.key/value (obsolète) additional.fields
seconds_in_wait	about.labels.key/value (obsolète) additional.fields
session_id	network.session_id
session_status	about.labels.key/value (obsolète) additional.fields
table_scans	about.labels.key/value (obsolète) additional.fields
wait_state	about.labels.key/value (obsolète) additional.fields
wait_time	about.labels.key/value (obsolète) additional.fields

Lock_Info

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Lock_Info :

Champ du journal	Mappage UDM
last_call_minute	about.labels.key/value (obsolète) additional.fields
lock_mode	about.labels.key/value (obsolète) additional.fields
lock_session_id	about.labels.key/value (obsolète) additional.fields
logon_time	about.labels.key/value (obsolète) additional.fields
obj_name	about.labels.key/value (obsolète) additional.fields
os_pid	target.process.pid
serial_num	target.resource.product_object_id

Espace de table

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Tablespace" :

Champ du journal	Mappage UDM
free_bytes	about.file.size
tablespace_name	about.resource.name
tablespace_reads	about.labels.key/value (obsolète) additional.fields
tablespace_status	about.labels.key/value (obsolète) additional.fields
tablespace_writes	about.labels.key/value (obsolète) additional.fields

Query_Stats

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Query_Stats :

Champ du journal	Mappage UDM
indexes_hit	about.labels.key/value (obsolète) additional.fields
query_plan_hit	about.labels.key/value (obsolète) additional.fields
stored_procedures_called	about.labels.key/value (obsolète) additional.fields
tables_hit	about.labels.key/value (obsolète) additional.fields

DLP_Incidents

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk DLP_Incidents :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
application	target.application
category	security_result.category_details
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_zone	target.location.country_or_origin
dlp_type	about.labels.key/value (obsolète) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (obsolète) additional.fields
dvc_category	about.labels.key/value (obsolète) additional.fields
dvc_priority	about.labels.key/value (obsolète) additional.fields
dvc_zone	principal.asset.location.country_or_region
objet	target.resource.name
object_category	about.labels.key/value (obsolète) additional.fields
object_path	target.file.full_path
de gravité,	security_result.severity
severity_id	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value (obsolète) additional.fields
src_user_category	principal.labels.key/value (obsolète) additional.fields
src_user_priority	principal.labels.key/value (obsolète) additional.fields
src_zone	principal.location.country_or_origin
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

All_Email

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Email :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
delay	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
file_hash	about.file.sha256, about.file.md5, about.file.sha1
file_name	about.labels.key/value (obsolète) additional.fields
file_size	about.file.size
internal_message_id	metadata.product_log_id
message_id	network.email.mail_id
message_info	about.labels.key/value (obsolète) additional.fields
orig_dest	target.labels.key/value (deprecated) additional.fields
orig_recipient	about.labels.key/value (obsolète) additional.fields
orig_src	network.email.from
de diffusion inverse	principal.process.command_line
process_id	principal.process.pid
protocol	network.application_protocol
destinataire	network.email.to
recipient_count	about.labels.key/value (obsolète) additional.fields
recipient_domain	about.labels.key/value (obsolète) additional.fields
recipient_status	about.labels.key/value (obsolète) additional.fields
response_time	about.labels.key/value (obsolète) additional.fields
retries	about.labels.key/value (obsolète) additional.fields
return_addr	about.labels.key/value (obsolète) additional.fields
taille	about.labels.key/value (obsolète) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_user	principal.user.email_addresses
src_user_bunit	principal.labels.key/value (obsolète) additional.fields
src_user_category	principal.labels.key/value (obsolète) additional.fields
src_user_domain	principal.administrative_domain
src_user_priority	principal.labels.key/value (obsolète) additional.fields
status_code	about.labels.key/value (obsolète) additional.fields
subject	network.email.subject(repeated)
tag	about.labels.key/value (obsolète) additional.fields
url	about.url
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields
xdelay	about.labels.key/value (obsolète) additional.fields
xref	about.labels.key/value (obsolète) additional.fields

Filtrage

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour le filtrage de l'ensemble de données Splunk :

Champ du journal	Mappage UDM
filter_action	about.labels.key/value (obsolète) additional.fields
filter_score	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_extra	about.labels.key/value (obsolète) additional.fields
signature_id	metadata.product_event_type

Ports

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Ports" :

Champ du journal	Mappage UDM
creation_time	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_port	target.port
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
dest_should_timesync	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_port	principal.port
src_requires_av	principal.labels.key/value (obsolète) additional.fields
src_should_timesync	principal.labels.key/value (obsolète) additional.fields
src_should_update	principal.labels.key/value (obsolète) additional.fields
state	about.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields
transport	network.ip_protocol
transport_dest_port	target.labels.key/value (deprecated) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Processus

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Processes" (Processus) :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
cpu_load_percent	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_is_expected	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
dest_should_timesync	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
mem_used	about.labels.key/value (obsolète) additional.fields
original_file_name	src.file.full_path
os	principal.asset.platform_software.platform_version
parent_process	about.labels.key/value (obsolète) additional.fields
parent_process_exec	about.labels.key/value (obsolète) additional.fields
parent_process_id	principal.process.parent_process.parent_pid
parent_process_guid	principal.process.parent_process.product_specific_process_id
parent_process_name	about.labels.key/value (obsolète) additional.fields
parent_process_path	principal.process.parent_process.command_line
de diffusion inverse	about.labels.key/value (obsolète) additional.fields
process_current_directory	about.labels.key/value (obsolète) additional.fields
process_exec	about.labels.key/value (obsolète) additional.fields
process_hash	principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
process_integrity_level	security_result.severity
process_name	principal.process.command_line
process_path	principal.process.file.full_path
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_id	principal.user.userid
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

Services

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour les services de l'ensemble de données Splunk :

Champ du journal	Mappage UDM
description	security_result.description
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_is_expected	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
dest_should_timesync	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
service	target.application
service_dll	about.labels.key/value (obsolète) additional.fields
service_dll_path	about.file.full_path
service_dll_hash	about.labels.key/value (obsolète) additional.fields
service_dll_signature_exists	about.labels.key/value (obsolète) additional.fields
service_dll_signature_verified	about.labels.key/value (obsolète) additional.fields
service_exec	target.process.file.full_path
service_hash	about.labels.key/value (obsolète) additional.fields
service_id	about.labels.key/value (obsolète) additional.fields
service_name	about.labels.key/value (obsolète) additional.fields
service_path	about.labels.key/value (obsolète) additional.fields
service_signature_exists	about.labels.key/value (obsolète) additional.fields
service_signature_verified	about.labels.key/value (obsolète) additional.fields
start_mode	about.labels.key/value (obsolète) additional.fields
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

Système de fichiers

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Filesystem" (Système de fichiers) :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
dest_should_timesync	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
file_access_time	about.labels.key/value (obsolète) additional.fields
file_create_time	target.asset.attribute.creation_time
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_modify_time	about.labels.key/value (obsolète) additional.fields
file_name	about.labels.key/value (obsolète) additional.fields
file_path	target.file.full_path
file_acl	about.labels.key/value (obsolète) additional.fields
file_size	target.file.size
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

Registre

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour le registre de l'ensemble de données Splunk :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
dest_should_timesync	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
registry_hive	about.labels.key/value (obsolète) additional.fields
registry_path	about.labels.key/value (obsolète) additional.fields
registry_key_name	target.registry.registry_key
registry_value_data	target.registry.registry_value_data
registry_value_name	target.registry.registry_value_name
registry_value_text	about.labels.key/value (obsolète) additional.fields
registry_value_type	about.labels.key/value (obsolète) additional.fields
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

Signatures

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Signatures" :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
tag	about.labels.key/value (obsolète) additional.fields

Signatures_vendor_product

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures_vendor_product :

Champ du journal	Mappage UDM
vendor_product	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

vendor_product

about.labels.key/value (obsolète)

additional.fields

All_Interprocess_Messaging

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Interprocess_Messaging :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
point de terminaison	about.labels.key/value (obsolète) additional.fields
endpoint_version	about.labels.key/value (obsolète) additional.fields
message	about.labels.key/value (obsolète) additional.fields
message_consumed_time	about.labels.key/value (obsolète) additional.fields
message_correlation_id	about.labels.key/value (obsolète) additional.fields
message_delivered_time	about.labels.key/value (obsolète) additional.fields
message_delivery_mode	about.labels.key/value (obsolète) additional.fields
message_expiration_time	about.labels.key/value (obsolète) additional.fields
message_id	metadata.product.log_id
message_priority	about.labels.key/value (obsolète) additional.fields
message_properties	about.labels.key/value (obsolète) additional.fields
message_received_time	about.labels.key/value (obsolète) additional.fields
message_redelivered	about.labels.key/value (obsolète) additional.fields
message_reply_dest	target.labels.key/value (deprecated) additional.fields
message_type	about.labels.key/value (obsolète) additional.fields
paramètres	about.labels.key/value (obsolète) additional.fields
payload	about.labels.key/value (obsolète) additional.fields
payload_type	about.labels.key/value (obsolète) additional.fields
request_payload	about.labels.key/value (obsolète) additional.fields
request_payload_type	about.labels.key/value (obsolète) additional.fields
request_sent_time	about.labels.key/value (obsolète) additional.fields
response_code	network.http.response_code
response_payload_type	about.labels.key/value (obsolète) additional.fields
response_received_time	about.labels.key/value (obsolète) additional.fields
response_time	about.labels.key/value (obsolète) additional.fields
return_message	about.labels.key/value (obsolète) additional.fields
rpc_protocol	network.application_protocol
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields

IDS_Attacks

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk IDS_Attacks :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
category	security_result.category_details
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (obsolète) additional.fields
dvc_category	about.labels.key/value (obsolète) additional.fields
dvc_priority	about.labels.key/value (obsolète) additional.fields
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value (obsolète) additional.fields
file_path	target.file.full_path
ids_type	about.labels.key/value (obsolète) additional.fields
de gravité,	security_result.severity
severity_id	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_port	principal.port
tag	about.labels.key/value (obsolète) additional.fields
transport	network.ip_protocol
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

DS_Attacks

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk DS_Attacks :

Champ du journal	Mappage UDM
dest_port	target.port

All_Inventory

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Inventory :

Champ du journal	Mappage UDM
description	security_result.description
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
activé	about.labels.key/value (obsolète) additional.fields
famille	about.labels.key/value (obsolète) additional.fields
hypervisor_id	about.labels.key/value (obsolète) additional.fields
serial	principal.asset.hardware.serial_number
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields
version	about.labels.key/value (obsolète) additional.fields

Processeur

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour le processeur du jeu de données Splunk :

Champ du journal	Mappage UDM
cpu_cores	principal.asset.hardware.cpu_number_cores
cpu_count	about.labels.key/value (obsolète) additional.fields
cpu_mhz	principal.asset.hardware.cpu_clock_speed
cpu_load_mhz	principal.asset.hardware.cpu_clock_speed
cpu_load_percent	about.labels.key/value (obsolète) additional.fields
cpu_time	about.labels.key/value (obsolète) additional.fields
cpu_user_percent	about.labels.key/value (obsolète) additional.fields

Mémoire

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Memory" (Mémoire) :

Champ du journal	Mappage UDM
Mém.	principal.asset.hardware.ram
heap_committed	about.labels.key/value (obsolète) additional.fields
heap_initial	about.labels.key/value (obsolète) additional.fields
heap_max	about.labels.key/value (obsolète) additional.fields
heap_used	about.labels.key/value (obsolète) additional.fields
non_heap_committed	about.labels.key/value (obsolète) additional.fields
non_heap_initial	about.labels.key/value (obsolète) additional.fields
non_heap_max	about.labels.key/value (obsolète) additional.fields
non_heap_used	about.labels.key/value (obsolète) additional.fields
objects_pending	about.labels.key/value (obsolète) additional.fields
Mém.	principal.asset.hardware.ram
mem_committed	about.labels.key/value (obsolète) additional.fields
mem_free	about.labels.key/value (obsolète) additional.fields
mem_used	about.labels.key/value (obsolète) additional.fields
échange	about.labels.key/value (obsolète) additional.fields
swap_free	about.labels.key/value (obsolète) additional.fields
swap_used	about.labels.key/value (obsolète) additional.fields

réseau

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour le réseau de l'ensemble de données Splunk :

Champ du journal	Mappage UDM
dest_ip	target.ip
dns	about.labels.key/value (obsolète) additional.fields
inline_nat	about.labels.key/value (obsolète) additional.fields
interface	about.labels.key/value (obsolète) additional.fields
ip	principal.asset.ip
lb_method	about.labels.key/value (obsolète) additional.fields
mac	principal.asset.mac
nom	principal.resource.name
nœud	about.labels.key/value (obsolète) additional.fields
node_port	target.port
src_ip	principal.ip
vip_port	about.labels.key/value (obsolète) additional.fields
thruput	about.labels.key/value (obsolète) additional.fields
thruput_max	about.labels.key/value (obsolète) additional.fields

OS

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk OS :

Champ du journal	Mappage UDM
os	principal.asset.platform_software.platform_version
committed_memory	about.labels.key/value (obsolète) additional.fields
cpu_time	about.labels.key/value (obsolète) additional.fields
free_physical_memory	about.labels.key/value (obsolète) additional.fields
free_swap	about.labels.key/value (obsolète) additional.fields
max_file_descriptors	about.labels.key/value (obsolète) additional.fields
open_file_descriptors	about.labels.key/value (obsolète) additional.fields
os	principal.asset.platform_software.platform_version
os_architecture	about.labels.key/value (obsolète) additional.fields
os_version	about.labels.key/value (obsolète) additional.fields
physical_memory	about.labels.key/value (obsolète) additional.fields
swap_space	about.labels.key/value (obsolète) additional.fields
system_load	about.labels.key/value (obsolète) additional.fields
total_processors	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type

Stockage

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Storage" (Stockage) :

Champ du journal	Mappage UDM
tableau	about.labels.key/value (obsolète) additional.fields
blocksize	about.labels.key/value (obsolète) additional.fields
cluster	about.resource.resource_type = "CLUSTER"
fd_max	about.labels.key/value (obsolète) additional.fields
latence	about.labels.key/value (obsolète) additional.fields
mount	principal.resource.attribute.labels.key/value
parent	principal.resource.parent
read_blocks	about.labels.key/value (obsolète) additional.fields
read_latency	about.labels.key/value (obsolète) additional.fields
read_ops	about.labels.key/value (obsolète) additional.fields
stockage	about.labels.key/value (obsolète) additional.fields
write_blocks	about.labels.key/value (obsolète) additional.fields
write_latency	about.labels.key/value (obsolète) additional.fields
write_ops	about.labels.key/value (obsolète) additional.fields
tableau	about.labels.key/value (obsolète) additional.fields
blocksize	about.labels.key/value (obsolète) additional.fields
cluster	about.resource.resource_type = "CLUSTER"
fd_max	about.labels.key/value (obsolète) additional.fields
fd_used	about.labels.key/value (obsolète) additional.fields
latence	about.labels.key/value (obsolète) additional.fields
mount	about.labels.key/value (obsolète) additional.fields
parent	principal.resource.parent
read_blocks	about.labels.key/value (obsolète) additional.fields
read_latency	about.labels.key/value (obsolète) additional.fields
read_ops	about.labels.key/value (obsolète) additional.fields
stockage	about.labels.key/value (obsolète) additional.fields
storage_free	about.labels.key/value (obsolète) additional.fields
storage_free_percent	about.labels.key/value (obsolète) additional.fields
storage_used	about.labels.key/value (obsolète) additional.fields
storage_used_percent	about.labels.key/value (obsolète) additional.fields
write_blocks	about.labels.key/value (obsolète) additional.fields
write_latency	about.labels.key/value (obsolète) additional.fields
write_ops	about.labels.key/value (obsolète) additional.fields
error_code	security_result.description
opération	about.labels.key/value (obsolète) additional.fields
storage_name	about.resource.name

Utilisateur

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "User" :

Champ du journal	Mappage UDM
interactive	about.labels.key/value (obsolète) additional.fields
mot de passe	about.labels.key/value (obsolète) additional.fields
shell	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_id	principal.user.userid
user_priority	principal.user.attribute.label.key/value

Virtual_OS

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Virtual_OS :

Champ du journal	Mappage UDM
hyperviseur	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

hyperviseur

about.labels.key/value (obsolète)

additional.fields

Instantané

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'instantané de l'ensemble de données Splunk :

Champ du journal	Mappage UDM
taille	about.file.size
instantané	about.labels.key/value (obsolète) additional.fields
temps	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

taille

about.file.size

instantané

about.labels.key/value (obsolète)

additional.fields

temps

about.labels.key/value (obsolète)

additional.fields

JVM

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk JVM :

Champ du journal	Mappage UDM
jvm_description	security_result.description
tag	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

jvm_description

security_result.description

tag

about.labels.key/value (obsolète)

additional.fields

Threading

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Threading" :

Champ du journal	Mappage UDM
cm_enabled	about.labels.key/value (obsolète) additional.fields
cm_supported	about.labels.key/value (obsolète) additional.fields
cpu_time_enabled	about.labels.key/value (obsolète) additional.fields
cpu_time_supported	about.labels.key/value (obsolète) additional.fields
current_cpu_time	about.labels.key/value (obsolète) additional.fields
current_user_time	about.labels.key/value (obsolète) additional.fields
daemon_thread_count	about.labels.key/value (obsolète) additional.fields
omu_supported	about.labels.key/value (obsolète) additional.fields
peak_thread_count	about.labels.key/value (obsolète) additional.fields
synch_supported	about.labels.key/value (obsolète) additional.fields
thread_count	about.labels.key/value (obsolète) additional.fields
threads_started	about.labels.key/value (obsolète) additional.fields

Environnement d'exécution

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Runtime" :

Champ du journal	Mappage UDM
process_name	principal.process.command_line
start_time	about.labels.key/value (obsolète) additional.fields
uptime	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields
version	about.labels.key/value (obsolète) additional.fields

Compilation

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour la compilation du jeu de données Splunk :

Champ du journal	Mappage UDM
compilation_time	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

compilation_time

about.labels.key/value (obsolète)

additional.fields

Chargement de classe

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour le jeu de données Splunk "Classloading" :

Champ du journal	Mappage UDM
current_loaded	about.labels.key/value (obsolète) additional.fields
total_loaded	about.labels.key/value (obsolète) additional.fields
total_unloaded	about.labels.key/value (obsolète) additional.fields

Champ du journal

Mappage UDM

current_loaded

about.labels.key/value (obsolète)

additional.fields

total_loaded

about.labels.key/value (obsolète)

additional.fields

total_unloaded

about.labels.key/value (obsolète)

additional.fields

Malware_Attacks

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Attacks :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
category	security_result.category_details
date	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_nt_domain	target.administrative_domain
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value (obsolète) additional.fields
file_path	target.file.full_path
de gravité,	security_result.severity
severity_id	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
src_user	principal.user.user_display_name
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
url	about.url
vendor_product	about.labels.key/value (obsolète) additional.fields

Malware_Operations

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_nt_domain	target.labels.key/value (deprecated) additional.fields
dest_nt_domain	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_requires_av	target.labels.key/value (deprecated) additional.fields
product_version	about.labels.key/value (obsolète) additional.fields
signature_version	security_result.rule_version
tag	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields

Malware_Operations

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations :

Champ du journal	Mappage UDM
dest_category	target.labels.key/value (deprecated) additional.fields

Champ du journal

Mappage UDM

dest_category

target.labels.key/value (deprecated)

additional.fields

DNS

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "DNS" :

Champ du journal	Mappage UDM
additional_answer_count	about.labels.key/value (obsolète) additional.fields
réponse	network.dns.answer.data
answer_count	about.labels.key/value (obsolète) additional.fields
authority_answer_count	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_port	target.port
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
message_type	about.labels.key/value (obsolète) additional.fields
nom	about.labels.key/value (obsolète) additional.fields
requête	network.dns.questions.name
query_count	about.labels.key/value (obsolète) additional.fields
query_type	network.dns.questions.type
record_type	network.dns.answer.type(uint32)
reply_code	about.labels.key/value (obsolète) additional.fields
reply_code_id	network.dns.response_code
response_time	about.labels.key/value (obsolète) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_port	principal.port
src_priority	principal.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields
transaction_id	network.dns.id
transport	network.ip_protocol
ttl	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields

All_Sessions

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Sessions :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_dns	target.labels.key/value (deprecated) additional.fields
dest_ip	network.dhcp.ciaddr
dest_mac	network.dhcp.chaddr
dest_nt_host	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
duration	network.session_duration
response_time	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_dns	principal.labels.key/value (obsolète) additional.fields
src_ip	principal.ip
src_mac	principal.mac
src_nt_host	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

DHCP

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk DHCP :

Champ du journal

Mappage UDM

lease_duration

network.dhcp.lease_time_second

lease_scope

about.labels.key/value (obsolète)

additional.fields

All_Traffic

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Traffic :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
application	network.application_protocol
bytes	about.labels.key/value (obsolète) additional.fields
bytes_in	network.received_bytes
bytes_out	network.sent_bytes
channel	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_interface	target.labels.key/value (deprecated) additional.fields
dest_ip	target.ip
dest_mac	target.mac
dest_port	target.port
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_translated_ip	target.nat_ip
dest_translated_port	target.nat_port
dest_zone	target.location.country_or_origin
direction	network.direction
duration	network.session_duration
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (obsolète) additional.fields
dvc_category	about.labels.key/value (obsolète) additional.fields
dvc_ip	about.labels.key/value (obsolète) additional.fields
dvc_mac	principal.asset.mac
dvc_priority	about.labels.key/value (obsolète) additional.fields
dvc_zone	principal.asset.location.country_or_region
flow_id	about.labels.key/value (obsolète) additional.fields
icmp_code	about.labels.key/value (obsolète) additional.fields
icmp_type	about.labels.key/value (obsolète) additional.fields
paquets	about.labels.key/value (obsolète) additional.fields
packets_in	about.labels.key/value (obsolète) additional.fields
packets_out	about.labels.key/value (obsolète) additional.fields
protocol	about.labels.key/value (obsolète) additional.fields
protocol_version	about.labels.key/value (obsolète) additional.fields
response_time	about.labels.key/value (obsolète) additional.fields
règle	security_result.rule_id
session_id	network.session_id
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_interface	principal.labels.key/value (obsolète) additional.fields
src_ip	principal.ip
src_mac	principal.mac
src_port	principal.port
src_priority	principal.labels.key/value (obsolète) additional.fields
src_translated_ip	principal.nat_ip
src_translated_port	principal.nat_port
src_zone	principal.location.country_or_origin
ssid	about.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields
tcp_flag	about.labels.key/value (obsolète) additional.fields
transport	network.ip_protocol
tos	about.labels.key/value (obsolète) additional.fields
ttl	network.dns.additional.ttl
utilisateur	principal.user.userid
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_account	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields
vlan	about.labels.key/value (obsolète) additional.fields
wifi	about.labels.key/value (obsolète) additional.fields

All_Performance

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Performance :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_should_timesync	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
hypervisor_id	about.labels.key/value (obsolète) additional.fields
resource_type	about.labels.key/value (obsolète) additional.fields
tag	about.labels.key/value (obsolète) additional.fields

Locaux

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Facilities" :

Champ du journal

Mappage UDM

fan_speed

about.labels.key/value (obsolète)

additional.fields

power

about.labels.key/value (obsolète)

additional.fields

température

about.labels.key/value (obsolète)

additional.fields

Timesync

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Timesync :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action

Temps d'activité

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Uptime" :

Champ du journal

Mappage UDM

uptime

about.labels.key/value (obsolète)

additional.fields

View_Activity

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk View_Activity :

Champ du journal	Mappage UDM
application	target.application
dépensé	about.labels.key/value (obsolète) additional.fields
uri	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
afficher	about.labels.key/value (obsolète) additional.fields

Datamodel_Acceleration

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Datamodel_Acceleration :

Champ du journal	Mappage UDM
access_count	about.labels.key/value (obsolète) additional.fields
access_time	about.labels.key/value (obsolète) additional.fields
application	target.application
buckets	about.labels.key/value (obsolète) additional.fields
buckets_size	about.labels.key/value (obsolète) additional.fields
terminé	about.labels.key/value (obsolète) additional.fields
cron	about.labels.key/value (obsolète) additional.fields
datamodel	about.labels.key/value (obsolète) additional.fields
condensé	about.labels.key/value (obsolète) additional.fields
le plus tôt possible	about.labels.key/value (obsolète) additional.fields
is_inprogress	about.labels.key/value (obsolète) additional.fields
last_error	about.labels.key/value (obsolète) additional.fields
last_sid	about.labels.key/value (obsolète) additional.fields
dernière	about.labels.key/value (obsolète) additional.fields
mod_time	about.labels.key/value (obsolète) additional.fields
retention	about.labels.key/value (obsolète) additional.fields
taille	about.file.size
summary_id	about.labels.key/value (obsolète) additional.fields

Search_Activity

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Search_Activity :

Champ du journal	Mappage UDM
hôte	about.hostname
info	about.labels.key/value (obsolète) additional.fields
search	about.labels.key/value (obsolète) additional.fields
search_et	about.labels.key/value (obsolète) additional.fields
search_lt	about.labels.key/value (obsolète) additional.fields
search_type	about.labels.key/value (obsolète) additional.fields
source	principal.labels.key/value (obsolète) additional.fields
sourcetype	principal.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Scheduler_Activity

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Scheduler_Activity :

Champ du journal	Mappage UDM
application	target.application
hôte	about.hostname
savedsearch_name	about.labels.key/value (obsolète) additional.fields
sid	about.labels.key/value (obsolète) additional.fields
source	principal.labels.key/value (obsolète) additional.fields
sourcetype	principal.labels.key/value (obsolète) additional.fields
splunk_server	principal.ip, principal.hostname
état	security_result.summary
utilisateur	principal.user.user_display_name

Web_Service_Errors

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Web_Service_Errors :

Champ du journal	Mappage UDM
hôte	about.hostname
source	principal.labels.key/value (obsolète) additional.fields
sourcetype	principal.labels.key/value (obsolète) additional.fields
event_id	security_result.rule_name

Modular_Actions

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Modular_Actions :

Champ du journal	Mappage UDM
action_mode	about.labels.key/value (obsolète) additional.fields
action_status	about.labels.key/value (obsolète) additional.fields
application	target.application
duration	network.session_duration
composant	about.labels.key/value (obsolète) additional.fields
orig_rid	about.labels.key/value (obsolète) additional.fields
orig_sid	about.labels.key/value (obsolète) additional.fields
éliminer	about.labels.key/value (obsolète) additional.fields
search_name	about.labels.key/value (obsolète) additional.fields
action_name	security_result.action_details
signature	metadata.description
sid	about.labels.key/value (obsolète) additional.fields
utilisateur	about.labels.key/value (obsolète) additional.fields

All_Ticket_Management

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk All_Ticket_Management :

Champ du journal	Mappage UDM
affect_dest	target.labels.key/value (deprecated) additional.fields
commentaires	about.labels.key/value (obsolète) additional.fields
description	security_result.description
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
priorité	security_result.priority_details
de gravité,	security_result.severity
severity_id	about.labels.key/value (obsolète) additional.fields
splunk_id	about.labels.key/value (obsolète) additional.fields
splunk_realm	about.labels.key/value (obsolète) additional.fields
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value (obsolète) additional.fields
src_user_category	principal.labels.key/value (obsolète) additional.fields
src_user_priority	principal.labels.key/value (obsolète) additional.fields
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields
ticket_id	target.user.attribute.label.ley/value
time_submitted	principal.user.attribute.creation_time
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Modifier

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Change" :

Champ du journal

Mappage UDM

modifier

about.labels.key/value (obsolète)

additional.fields

Incident

Le tableau suivant répertorie les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Incident" :

Champ du journal

Mappage UDM

incident

about.labels.key/value (obsolète)

additional.fields

Problème

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour le problème lié à l'ensemble de données Splunk :

Champ du journal

Mappage UDM

problème

about.labels.key/value (obsolète)

additional.fields

Mises à jour

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour les mises à jour de l'ensemble de données Splunk :

Champ du journal	Mappage UDM
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_should_update	target.labels.key/value (deprecated) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value (obsolète) additional.fields
de gravité,	security_result.severity
severity_id	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
état	security_result.summary
tag	about.labels.key/value (obsolète) additional.fields
vendor_product	about.labels.key/value (obsolète) additional.fields

Failles

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk "Vulnerabilities" (Failles) :

Champ du journal	Mappage UDM
bugtraq	about.labels.key/value (obsolète) additional.fields
category	security_result.category_details
cert	about.labels.key/value (obsolète) additional.fields
cve	vulnerabilites.cve_description
cvss	vulnerabilites.cvss_base_score
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (obsolète) additional.fields
dvc_category	about.labels.key/value (obsolète) additional.fields
dvc_priority	about.labels.key/value (obsolète) additional.fields
msft	about.labels.key/value (obsolète) additional.fields
mskb	about.labels.key/value (obsolète) additional.fields
de gravité,	extensions.vulns.vulnerabilites.severity
severity_id	about.labels.key/value (obsolète) additional.fields
signature	metadata.description
signature_id	metadata.product_event_type
tag	about.labels.key/value (obsolète) additional.fields
url	extensions.vulns.vulnerabilites.about.url
utilisateur	extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields
xref	about.labels.key/value (obsolète) additional.fields

Web

Le tableau suivant liste les champs de journaux et les mappages UDM correspondants pour l'ensemble de données Splunk Web :

Champ du journal	Mappage UDM
action	security_result.action_details security_result.action
application	target.application
bytes	about.labels.key/value (obsolète) additional.fields
bytes_in	network.received_bytes
bytes_out	network.sent_bytes
en cache	about.labels.key/value (obsolète) additional.fields
category	security_result.category_details
biscuit	about.labels.key/value (obsolète) additional.fields
dest	target.ip target.hostname target.labels.key/value (deprecated)
dest_bunit	target.labels.key/value (deprecated) additional.fields
dest_category	target.labels.key/value (deprecated) additional.fields
dest_priority	target.labels.key/value (deprecated) additional.fields
dest_port	target.port
duration	network.session_duration
http_content_type	about.labels.key/value (obsolète) additional.fields
http_method	network.http.method
http_referrer	network.http.referral_url
http_referrer_domain	about.labels.key/value (obsolète) additional.fields
http_user_agent	network.http.user_agent
http_user_agent_length	about.labels.key/value (obsolète) additional.fields
response_time	about.labels.key/value (obsolète) additional.fields
site	about.labels.key/value (obsolète) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (obsolète)
src_bunit	principal.labels.key/value (obsolète) additional.fields
src_category	principal.labels.key/value (obsolète) additional.fields
src_priority	principal.labels.key/value (obsolète) additional.fields
état	network.http.response_code
tag	about.labels.key/value (obsolète) additional.fields
uri_path	about.labels.key/value (obsolète) additional.fields
uri_query	about.labels.key/value (obsolète) additional.fields
url	about.url
url_domain	about.asset.network_domain
url_length	about.labels.key/value (obsolète) additional.fields
utilisateur	principal.user.user_display_name
user_bunit	about.labels.key/value (obsolète) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (obsolète) additional.fields

Types d'événements UDM

Le tableau suivant répertorie les tags Splunk et les types d'événements UDM correspondants :

Modèle de données	Tags Splunk	Type d'événement UDM
Alertes	alerte	STATUS_UPDATE
Authentification	authentification	USER_UNCATEGORIZED
Certificat	certificat	NETWORK_UNCATEGORIZED
Modifier	modifier	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Accès aux données	données, accès	USER_RESOURCE_ACCESS
Bases de données	base de données	USER_RESOURCE_ACCESS
Bases de données	base de données, instance, statistiques	STATUS_UPDATE
Bases de données	base de données, instance, état	STATUS_UPDATE
Bases de données	base de données, instance, verrou	STATUS_UPDATE
Bases de données	base de données, requête	STATUS_UPDATE
Bases de données	base de données, requête, espace table	STATUS_UPDATE
Bases de données	base de données, requête, statistiques	STATUS_UPDATE
Protection contre la perte de données	dlp, incident	SCAN_UNCATEGORIZED
E-mail	e-mail	EMAIL_UNCATEGORIZED
E-mail	e-mail, distribution	EMAIL_TRANSACTION
Point de terminaison	écoute, port	SERVICE_UNSPECIFIED
Point de terminaison	traiter, signaler	PROCESS_UNCATEGORIZED
Point de terminaison	service, report	SERVICE_UNSPECIFIED
Point de terminaison	point de terminaison, système de fichiers	FILE_UNCATEGORIZED
Point de terminaison	point de terminaison, registre	REGISTRY_UNCATEGORIZED
Signature de l'événement	track_event_signature	STATUS_UPDATE
Messagerie interprocessus	messagerie	STATUS_UPDATE
Détection des intrusions	ids, attack	SERVICE_UNSPECIFIED
Inventaire	inventaire	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Machine virtuelle Java (JVM)	jvm	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Logiciels malveillants	attaque de logiciels malveillants	STATUS_UPDATE
Résolution réseau(DNS)	réseau, résolution, dns	NETWORK_DNS
Sessions réseau	réseau, session	NETWORK_CONNECTION
Sessions réseau	réseau, session, dhcp	NETWORK_DHCP
Trafic réseau	réseau, communiquer	NETWORK_CONNECTION
Performances	performances	SERVICE_UNSPECIFIED
Journaux d'audit Splunk	modaction	STATUS_UPDATE
Gestion des demandes	billetterie	STATUS_UPDATE
Gestion des demandes	billetterie, modification	STATUS_UPDATE
Changements	update	STATUS_UPDATE
Failles	rapport, failles	SCAN_UNCATEGORIZED
Web	web	NETWORK_UNCATEGORIZED

Étapes suivantes

Ingestion de données dans Google Security Operations

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.