收集 VMware Airwatch 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 VMware Airwatch(VMware Workspace ONE UEM)日志注入到 Google Security Operations。解析器从各种格式(SYSLOG + KV、CEF)的日志中提取安全事件数据。它首先尝试使用一系列特定于 AirWatch 日志结构的 Grok 模式来解析日志消息,然后从事件数据中提取键值对并将其映射到统一数据模型 (UDM) 字段,对事件进行分类并使用上下文信息丰富事件,以便进行安全分析。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口处于开放状态
- 对 VMware Airwatch 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'AIRWATCH' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 VMware Airwatch (VMware Workspace ONE UEM) 配置 Syslog
- 登录 VMware AirWatch 网页界面。
- 依次前往监控 > 报告和分析 > 事件 > Syslog。
- 提供以下配置详细信息:
- Syslog Integration(Syslog 集成):选择 Enabled(已启用)。
- 主机名:输入 Bindplane 代理 IP 地址。
- 协议:选择 UDP。
- 端口:输入 Bindplane 代理端口号。
- Message Tag(消息标记):输入 Airwatch。
- Message Content:保留默认设置。
- 前往高级标签页。
- 提供以下配置详细信息:
- 控制台事件:选择启用。
- 选择要发送到 Syslog 的控制台事件:点击全选。
- 设备事件:选择启用。
- 选择要发送到 Syslog 的设备事件:点击全选。
- 点击保存。
- 点击测试连接。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
AdminAccount |
principal.user.userid | 该值取自原始日志中的 AdminAccount 字段。 |
Application |
target.application | 该值取自原始日志中的“应用”字段。 |
ApplicationUUID |
additional.fields[].value.string_value | 该值取自原始日志中的 ApplicationUUID 字段。键设置为“ApplicationUUID”。 |
BytesReceived |
network.received_bytes | 该值取自原始日志中的 BytesReceived 字段。 |
Device |
target.hostname | 该值取自原始日志中的“设备”字段。 |
DeviceEventLogDescription |
metadata.description | 该值取自原始日志中的 DeviceEventLogDescription 字段。 |
Enrollment User |
principal.user.userid | 当 event_name 为以下值之一时,该值取自原始日志中的“注册用户”字段:AppCatalogLaunch、InstallApplicationConfirmed、InstallProfileConfirmed、BreakMDMConfirmed、DeviceOperatingSystemChanged、RemoveProfileConfirmed、CertificateIssued、CompromisedStatusChanged、AppListSampleRefused、CertificateListSampleRefused、DeviceInformationRefused、ProfileListRefused、SecurityInformation、SecureChannelCheckIn、SecurityInformationConfirmed、StartACMConfirmed、DeviceAttributeDeviceMCCModified、DeviceAttributePhoneNumberModified、AvailableOSUpdatesList、AvailableOsUpdatesConfirmed。 |
Event Category |
additional.fields[].value.string_value | 该值取自原始日志中的“事件类别”字段。键设置为“事件类别”。 |
Event Module |
additional.fields[].value.string_value | 该值取自原始日志中的“事件模块”字段。键设置为“Event Module”。 |
Event Source |
additional.fields[].value.string_value | 该值取自原始日志中的“事件来源”字段。键设置为“事件来源”。 |
Event Timestamp |
metadata.event_timestamp.seconds | 该值取自原始日志中的“事件时间戳”字段。 |
FriendlyName |
target.hostname | 该值取自原始日志中的 FriendlyName 字段。 |
GroupManagementData |
security_result.description | 该值取自原始日志中的 GroupManagementData 字段。 |
Hmac |
additional.fields[].value.string_value | 该值取自原始日志中的 Hmac 字段。键设置为“Hmac”。 |
LoginSessionID |
network.session_id | 该值取自原始日志中的 LoginSessionID 字段。 |
MessageText |
metadata.description | 该值取自原始日志中的 MessageText 字段。 |
OriginatingOrganizationGroup |
principal.user.group_identifiers | 该值取自原始日志中的 OriginatingOrganizationGroup 字段。 |
OwnershipType |
additional.fields[].value.string_value | 该值取自原始日志中的 OwnershipType 字段。键设置为“OwnershipType”。 |
Profile |
target.resource.name | 该值取自原始日志中的“个人资料”字段。 |
ProfileName |
target.resource.name | 该值取自原始日志中的 ProfileName 字段。 |
Request Url |
target.url | 该值取自原始日志中的“请求网址”字段。 |
SmartGroupName |
target.group.group_display_name | 该值取自原始日志中的 SmartGroupName 字段。 |
Tags |
additional.fields[].value.string_value | 该值取自原始日志中的“Tags”字段。键设置为“标签”。 |
User |
target.user.userid | 当 event_name 为 SSPUserLoginAttemptFailed 时,该值取自原始日志中的“用户”字段。 |
event_name |
metadata.product_event_type | 该值取自原始日志中的“事件”字段。 |
| extensions.auth.type | 当 event_name 为以下值之一时,该值设置为“SSO”:AdminUserLoggedIn、SSPUserLoginAttemptFailed、AdminUserLoggedOut、AuthTokenIssued、AuthTokenRevoked。 | |
| is_alert | 当 event_name 为以下值之一时,该值设置为“true”:ComplianceStatusChanged、DeviceProfileTypeBlocked、ComplianceActionTaken。 | |
| is_significant | 当 event_name 为 ComplianceStatusChanged 时,该值设置为“true”。 | |
| is_significant | 当 event_name 为 DeviceProfileTypeBlocked 时,该值设置为“false”。 | |
| metadata.event_type | 当 event_name 为 SecureChannelCheckIn 时,该值设置为“GENERIC_EVENT”。 | |
| metadata.event_type | 如果 event_name 为 ApplicationGroupCreated,则该值设置为“GROUP_CREATION”。 | |
| metadata.event_type | 当 event_name 为 SmartGroupsDeleted 时,该值设置为“GROUP_DELETION”。 | |
| metadata.event_type | 如果 event_name 为 SmartGroupsModified 或 ApplicationGroupAssignmentModified,则该值设置为“GROUP_MODIFICATION”。 | |
| metadata.event_type | 如果 event_data 字段包含“session”且 hash_value 字段以“org”结尾,则该值设置为“NETWORK_CONNECTION”。 | |
| metadata.event_type | 如果 principal_hostname 或 src_ip 字段不为空,且 target_hostname 或 target_ip 字段不为空,则该值设置为“NETWORK_CONNECTION”。 | |
| metadata.event_type | 如果 event_name 为“Revoked”,且 event_data 字段不包含“Certificate”,则该值设置为“SETTING_DELETION”。 | |
| metadata.event_type | 当 event_name 为以下值之一时,该值设置为“SETTING_MODIFICATION”:DeviceAttributeDeviceMCCModified、DeviceAttributePhoneNumberModified、ComplianceStatusChanged、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked。 | |
| metadata.event_type | 当 event_name 为以下值之一时,该值设置为“STATUS_UNCATEGORIZED”:AppListSampleRefused、CertificateListSampleRefused、DeviceInformationRefused、ProfileListRefused、SecurityInformation、StartACMRequested、AvailableOSUpdatesList、AvailableOsUpdatesConfirmed、AvailableOsUpdatesRequested。 | |
| metadata.event_type | 当 event_name 为以下值之一时,该值设置为“STATUS_UPDATE”:BreakMDMRequested、CertificateIssued、CompromisedStatusChanged、SecureChannelCheckIn、EditDevice。 | |
| metadata.event_type | 当 event_name 为以下值之一时,该值设置为“USER_LOGOUT”:AdminUserLoggedOut、AuthTokenIssued、AuthTokenRevoked。 | |
| metadata.event_type | 当 event_name 为 AdminUserLoggedIn 或 SSPUserLoginAttemptFailed 时,该值设置为“USER_LOGIN”。 | |
| metadata.event_type | 如果 request_url 字段不为空,则该值设置为“USER_RESOURCE_ACCESS”。 | |
| metadata.event_type | 当 event_name 为 AppCatalogLaunch 时,该值设置为“USER_RESOURCE_ACCESS”。 | |
| metadata.event_type | 当 event_name 为以下值之一时,该值设置为“USER_RESOURCE_CREATION”:ApplicationDownload、EnrollmentComplete、InstallApplicationConfirmed、InstallProfileConfirmed。 | |
| metadata.event_type | 当 event_name 为 BreakMDMConfirmed 或 RemoveProfileConfirmed 时,该值设置为“USER_RESOURCE_DELETION”。 | |
| metadata.event_type | 当 event_name 为以下值之一时,该值设置为“USER_RESOURCE_UPDATE_CONTENT”:ProfileModified、ProfilePublished、ProfileSetToInactive、ProfileVersionAdded、RestrictionPayloadModified、DeviceOperatingSystemChanged。 | |
| metadata.event_type | 如果 event_name 为 EULAAccepted,则该值设置为“USER_RESOURCE_UPDATE_PERMISSIONS”。 | |
| metadata.event_type | 如果 event_name 为以下值之一,则该值设置为“USER_UNCATEGORIZED”:Revoked、ComplianceNotificationSent、DeleteDeviceRequested、DeviceClearPasscodeRequested、DeviceWipeRequested、InstallApplicationRequested、ApplicationInstallOnDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AddMissingUserCompletedEvent、AddMissingUserFailureEvent、ApplicationAdded、ApplicationDeleted、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、SyncGroupCompletedEvent、SyncGroupFailureEvent、SearchMissingUserCompleteEvent、SyncAdminFailure、SyncUserCompletedEvent、SyncUserFailureEvent、UserDeleted、HealthAttestationCertificateRequestConfirmed、WindowsDeviceCheckInMode、SampleResponseListReceived、HealthAttestationCertificateRequested、WindowsInformationConfirmed、RemoteManagement、HealthAttestationServerToServerSyncReqConfirmed、ScepThumbprintSampleConfirmed、HealthAttestationSampleRequestConfirmed、HealthAttestationServerToServerSyncRequested、HealthAttestationServerToServerSyncRequestFailed、WipeRequest、InstallApplicationFailed、OwnershipChanged、WipeConfirmed、FreshDeviceCreatedInDeviceState、UserSetToInactive、ExistingDeviceUpdatedInDeviceState、HealthAttestationCertificateRequestFailed、AppleOsXmdmDeviceTokenUpdate、DeviceUnenrolled、ScheduleOsUpdateResults、UserRoleAssignmentModified、UserModified、AppleTokenUpdateComplete、UserEnrollmentTokenCreated、ScheduleOsUpdatesConfirmed、OsUpdateStatusRequested、InstallProfileConfirmed、TagAssignmentChanged。 | |
| metadata.log_type | 该值设置为“AIRWATCH”。 | |
| metadata.product_name | 该值设置为“AirWatch”。 | |
| metadata.vendor_name | 该值设置为“VMWare”。 | |
| network.application_protocol | 当 application_protocol 字段包含“HTTP”时,该值设置为“HTTP”。 | |
| network.http.method | 该值取自原始日志中的 method_url 字段。 | |
| network.http.referral_url | 该值取自原始日志中的 referral_url 字段。 | |
| network.http.response_code | 该值取自原始日志中的 http_status 字段。 | |
| network.http.user_agent | 该值取自原始日志中的 user_agent 字段。 | |
| network.ip_protocol | 当协议字段为“TCP”时,该值设置为“TCP”。 | |
| network.ip_protocol | 当协议字段为“UDP”时,该值设置为“UDP”。 | |
| principal.administrative_domain | 当 event_name 为以下值之一时,该值取自原始日志中的网域字段:SmartGroupsDeleted、SmartGroupsModified、ProfileModified、ProfilePublished、ProfileSetToInactive、DeleteDeviceRequested、DeviceEnterpriseWipeRequested、InstallProfileRequested、RemoveProfileRequested、FindDeviceRequested、InstallApplicationRequested、ApplicationInstallOnDeviceRequested、RemoveApplicationRequested、SendMessageRequested、ApplicationAdded、ApplicationDeleted、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、UserDeleted。 | |
| principal.hostname | 该值取自原始日志中的主机名字段。 | |
| principal.ip | 当 event_name 为以下值之一时,该值取自原始日志中的 sys_ip 字段:AuthTokenIssued、AuthTokenRevoked、BreakMDMRequested、ComplianceNotificationSent、DeleteDeviceRequested、Revoked、ComplianceStatusChanged、CompliancePolicyModified、ProfileModified、ProfilePublished、ProfileSetToInactive、SmartGroupsDeleted、ApplicationDownload、EnrollmentComplete、EULAAccepted、StartACMRequested、DeviceEnterpriseWipeRequested、InstallApplicationRequested、InstallProfileRequested、RemoveProfileRequested、ApplicationInstallOnDeviceRequested、FindDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AvailableOsUpdatesRequested、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、AddMissingUserCompletedEvent、AddMissingUserFailureEvent、ApplicationAdded、ApplicationDeleted、ApplicationGroupAssignmentModified、ApplicationGroupCreated、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、DeviceWipeRequested、ProfileVersionAdded、RestrictionPayloadModified、SmartGroupsModified、SyncGroupCompletedEvent、SyncGroupFailureEvent、SearchMissingUserCompleteEvent、SyncAdminFailure、SyncUserCompletedEvent、SyncUserFailureEvent、UserDeleted、HealthAttestationCertificateRequestConfirmed、WindowsDeviceCheckInMode、SampleResponseListReceived、HealthAttestationCertificateRequested、WindowsInformationConfirmed、RemoteManagement、HealthAttestationServerToServerSyncReqConfirmed、ScepThumbprintSampleConfirmed、HealthAttestationSampleRequestConfirmed、HealthAttestationServerToServerSyncRequested、HealthAttestationServerToServerSyncRequestFailed、WipeRequest、InstallApplicationFailed、OwnershipChanged、WipeConfirmed、FreshDeviceCreatedInDeviceState、UserSetToInactive、ExistingDeviceUpdatedInDeviceState、HealthAttestationCertificateRequestFailed、AppleOsXmdmDeviceTokenUpdate、DeviceUnenrolled、ScheduleOsUpdateResults、UserRoleAssignmentModified、UserModified、ComplianceActionTaken、AppleTokenUpdateComplete、UserEnrollmentTokenCreated、ScheduleOsUpdatesConfirmed、OsUpdateStatusRequested。 | |
| principal.process.pid | 该值取自原始日志中的 process_id 字段。 | |
| principal.user.group_identifiers | 当 event_name 为 AuthTokenIssued 或 AuthTokenRevoked 时,该值取自原始日志中的 auth_group 字段。 | |
| principal.user.user_display_name | 该值取自原始日志中的 user_info 字段。 | |
| principal.user.userid | 当 event_name 为以下值之一时,该值取自原始日志中的 user_name 字段:AuthTokenIssued、AuthTokenRevoked、BreakMDMRequested、ComplianceNotificationSent、DeleteDeviceRequested、Revoked、ComplianceStatusChanged、CompliancePolicyModified、ProfileModified、ProfilePublished、ProfileSetToInactive、SmartGroupsDeleted、ApplicationDownload、EnrollmentComplete、EULAAccepted、StartACMRequested、DeviceEnterpriseWipeRequested、InstallApplicationRequested、InstallProfileRequested、RemoveProfileRequested、ApplicationInstallOnDeviceRequested、FindDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AvailableOsUpdatesRequested、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、AddMissingUserCompletedEvent、AddMissingUserFailureEvent、ApplicationAdded、ApplicationDeleted、ApplicationGroupAssignmentModified、ApplicationGroupCreated、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、DeviceWipeRequested、ProfileVersionAdded、RestrictionPayloadModified、SmartGroupsModified、SyncGroupCompletedEvent、SyncGroupFailureEvent、SearchMissingUserCompleteEvent、SyncAdminFailure、SyncUserCompletedEvent、SyncUserFailureEvent、UserDeleted、HealthAttestationCertificateRequestConfirmed、WindowsDeviceCheckInMode、SampleResponseListReceived、HealthAttestationCertificateRequested、WindowsInformationConfirmed、RemoteManagement、HealthAttestationServerToServerSyncReqConfirmed、ScepThumbprintSampleConfirmed、HealthAttestationSampleRequestConfirmed、HealthAttestationServerToServerSyncRequested、HealthAttestationServerToServerSyncRequestFailed、WipeRequest、InstallApplicationFailed、OwnershipChanged、WipeConfirmed、FreshDeviceCreatedInDeviceState、UserSetToInactive、ExistingDeviceUpdatedInDeviceState、HealthAttestationCertificateRequestFailed、AppleOsXmdmDeviceTokenUpdate、DeviceUnenrolled、ScheduleOsUpdateResults、UserRoleAssignmentModified、UserModified、ComplianceActionTaken、AppleTokenUpdateComplete、UserEnrollmentTokenCreated、ScheduleOsUpdatesConfirmed、OsUpdateStatusRequested、EditDevice。 | |
| security_result.action | 当 event_name 为 DeviceProfileTypeUnblocked 时,该值设置为“ALLOW”。 | |
| security_result.action | 当 event_name 为以下值之一时,该值设置为“BLOCK”:DeviceProfileTypeBlocked、SyncAdminFailure、SyncGroupFailureEvent、SyncUserFailureEvent。 | |
| security_result.category | 当 event_name 为 SSPUserLoginAttemptFailed 时,该值设置为“AUTH_VIOLATION”。 | |
| security_result.category | 当 event_name 为以下值之一时,该值设置为“POLICY_VIOLATION”:ComplianceStatusChanged、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、ComplianceNotificationSent、CompromisedStatusChanged。 | |
| security_result.category_details | 该值取自原始日志中的“事件类别”字段。 | |
| security_result.description | 如果说明字段包含 IP 地址,则该值取自原始日志中的 des 字段。 | |
| security_result.description | 如果说明字段不包含 IP 地址,则该值取自原始日志中的说明字段。 | |
| security_result.description | 当 event_name 为 SyncAdminFailure 时,该值设置为“unexpected error occurred, check logs for details”。 | |
| security_result.description | 当 event_name 为 MergeGroupCompletedEvent 时,该值取自原始日志中的 GroupManagementData 字段。 | |
| security_result.summary | 该值取自原始日志中的摘要字段。 | |
| target.administrative_domain | 当 event_name 为 CompliancePolicyModified 时,该值取自原始日志中的网域字段。 | |
| target.application | 当 event_name 为以下值之一时,该值取自原始日志中的 app_name 字段:InstallApplicationRequested、ApplicationInstallOnDeviceRequested、RemoveApplicationRequested、ApplicationAdded、ApplicationDeleted、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、ApplicationDownload、InstallApplicationConfirmed。 | |
| target.asset_id | 如果 event_name 为 DeleteDeviceRequested,且 device_serial_number 和 device_udid 字段不为空,则该值设置为“device_serial_number:device_udid”。 | |
| target.group.group_display_name | 当 event_name 为 ApplicationGroupAssignmentModified 或 ApplicationGroupCreated 时,该值取自原始日志中的 ApplicationGroup 字段。 | |
| target.hostname | 当 event_name 为 DeviceLocationGroupChanged 时,该值取自原始日志中的“设备”字段。 | |
| target.ip | 当 event_name 为 SSPUserLoginAttemptFailed 时,该值取自原始日志中的 sys_ip 字段。 | |
| target.ip | 当 event_name 为以下值之一时,该值取自原始日志中的 target_ip 字段:CompliancePolicyModified、CertificateIssued、CompromisedStatusChanged、AppListSampleRefused、CertificateListSampleRefused、DeviceInformationRefused、ProfileListRefused、SecurityInformation、SecureChannelCheckIn、SecurityInformationConfirmed、StartACMConfirmed、AdminUserLoggedIn、AdminUserLoggedOut、AvailableOSUpdatesList、AvailableOsUpdatesConfirmed。 | |
| target.port | 该值取自原始日志中的 target_port 字段。 | |
| target.resource.name | 当 event_name 为以下值之一时,该值设置为“SETTING”:Revoked、CompliancePolicyModified、ComplianceStatusChanged、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked。 | |
| target.resource.type | 当 event_name 为 ApplicationDownload 时,该值设置为“APP”。 | |
| target.resource.type | 当 event_name 为 EnrollmentComplete 时,该值设置为“DEVICE”。 | |
| target.resource.type | 当 event_name 为 EULAAccepted 时,该值设置为“EULA”。 | |
| target.resource.type | 当 event_name 为 DeviceOperatingSystemChanged 时,该值设置为“OS”。 | |
| target.resource.type | 如果 event_name 为 InstallProfileConfirmed,则该值设置为“PROFILE”。 | |
| target.resource.type | 当 event_name 为以下值之一时,该值设置为“SETTING”:Revoked、CompliancePolicyModified、ComplianceStatusChanged、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked。 | |
| target.url | 如果 method_url 字段不为空,则该值取自原始日志中的 target_url 字段。 | |
| target.user.group_identifiers | 当 event_name 为 AuthTokenIssued 或 AuthTokenRevoked 时,该值取自原始日志中的 auth_group 字段。 | |
| target.user.userid | 当 event_name 为以下值之一时,该值取自原始日志中的 group_user 字段:AddMissingUserCompletedEvent、AddMissingUserFailureEvent。 | |
| target.user.userid | 当 event_name 为以下值之一时,该值取自原始日志中的 enrollment_user 字段:BreakMDMRequested、ComplianceNotificationSent、DeleteDeviceRequested、Revoked、ComplianceStatusChanged、ApplicationDownload、EnrollmentComplete、EULAAccepted、StartACMRequested、DeviceEnterpriseWipeRequested、InstallApplicationRequested、InstallProfileRequested、RemoveProfileRequested、ApplicationInstallOnDeviceRequested、FindDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AuthTokenIssued、AuthTokenRevoked、InstallApplicationConfirmed、InstallProfileConfirmed、BreakMDMConfirmed、DeviceOperatingSystemChanged、RemoveProfileConfirmed、DeviceAttributeDeviceMCCModified、DeviceAttributePhoneNumberModified、AvailableOsUpdatesRequested、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、ApplicationRemoveFromDeviceRequested、DeviceClearPasscodeRequested、DeviceWipeRequested。 | |
| target.user.userid | 当 event_name 为 UserDeleted 时,该值取自原始日志中的“用户”字段。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。