Diese Seite wurde von der Cloud Translation API übersetzt.

VMware ESXi-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Mit diesem Parser werden Felder aus Syslog- und JSON-formatierten Logs von VMware ESXi extrahiert. Sie normalisiert die verschiedenen ESXi-Logformate in eine gemeinsame Struktur und füllt dann UDM-Felder basierend auf extrahierten Werten aus. Dabei werden mithilfe von Include-Dateien auch bestimmte Fälle für verschiedene ESXi-Dienste wie crond, named und sshd berücksichtigt.

Hinweise

Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
Sie benötigen privilegierten Zugriff auf VMware ESX.
Achten Sie darauf, dass Sie einen Windows 2012 SP2-Host oder höher oder einen Linux-Host mit systemd haben.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Skript aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Führen Sie für die Linux-Installation das folgende Skript aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf den Computer zu, auf dem der BindPlane-Agent installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen. Verwenden Sie dazu den folgenden Befehl: sudo systemctl bindplane restart

Firewallregel für Syslog-ESXi zulassen

Rufen Sie Netzwerk > Firewallregeln auf.
Suchen Sie in der Spalte „Name“ nach syslog.
Klicken Sie auf Einstellungen bearbeiten.
Aktualisieren Sie den Port tcp oder udp, den Sie in Bindplane konfiguriert haben.
Klicken Sie auf Speichern.
Lassen Sie die Syslog-Zeile ausgewählt.
Wählen Sie Aktionen > Aktivieren aus.

Syslog aus VMware ESXi mit dem vSphere-Client exportieren

Melden Sie sich mit dem vSphere Client bei Ihrem ESXi-Host an.
Gehen Sie zu Verwalten > System > Erweiterte Einstellungen.
Suchen Sie in der Liste nach dem Schlüssel Syslog.global.logHost.
Wählen Sie den Schlüssel aus und klicken Sie auf Option bearbeiten.
Geben Sie <protocol>://<destination_IP>:<port> ein.
- Ersetzen Sie <protocol> durch tcp. Wenn Sie den BindPlane-Agent für die Verwendung von UDP konfiguriert haben, geben Sie udp ein.
- Ersetzen Sie <destination_IP> durch die IP-Adresse Ihres Bindplane-Agents.
- Ersetzen Sie <port> durch den Port, der zuvor im Bindplane-Agent eingerichtet wurde.
Klicken Sie auf Speichern.

Optional: Syslog von VMware ESXi über SSH exportieren

Stellen Sie eine SSH-Verbindung zu Ihrem ESXi-Host her.
Führen Sie den Befehl esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port> aus:
- Ersetzen Sie <protocol> durch tcp. Wenn Sie den BindPlane-Agent für die Verwendung von UDP konfiguriert haben, geben Sie udp ein.
- Ersetzen Sie <destination_IP> durch die IP-Adresse Ihres Bindplane-Agents.
- Ersetzen Sie <port> durch den zuvor in Bindplane eingerichteten Port.
Starten Sie den Syslog-Dienst neu, indem Sie den Befehl /etc/init.d/syslog restart eingeben.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`@fields.alias`	`event.idm.read_only_udm.principal.cloud.project.alias`	Direkt aus dem Feld `@fields.alias` des JSON-Logs zugeordnet.
`@fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Direkt aus dem Feld `@fields.company_name` des JSON-Logs zugeordnet.
`@fields.facility`	`event.idm.read_only_udm.principal.resource.type`	Direkt aus dem Feld `@fields.facility` des JSON-Logs zugeordnet.
`@fields.host`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `@fields.host` des JSON-Logs zugeordnet.
`@fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	Direkt aus dem Feld `@fields.privatecloud_id` des JSON-Logs zugeordnet.
`@fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	Direkt aus dem Feld `@fields.privatecloud_name` des JSON-Logs zugeordnet.
`@fields.procid`	`event.idm.read_only_udm.principal.process.pid`	Direkt aus dem Feld `@fields.procid` des JSON-Logs zugeordnet.
`@fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	Direkt aus dem Feld `@fields.region_id` des JSON-Logs zugeordnet.
`@fields.severity`	`event.idm.read_only_udm.security_result.severity`	Wird aus dem Feld `@fields.severity` des JSON-Logs zugeordnet. Wenn der Wert „info“ oder ähnlich ist, wird er „INFORMATIONAL“ zugeordnet.
`@timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Geparsed und mit dem Filter `date` in ein Zeitstempelobjekt aus dem Feld `@timestamp` des Logs konvertiert.
`adapter`	`event.idm.read_only_udm.target.resource.name`	Direkt aus dem Feld `adapter` des Rohlogs zugeordnet.
`action`	`event.idm.read_only_udm.security_result.action`	Direkt aus dem Feld `action` des Rohlogs zugeordnet. Es werden Werte wie „ALLOW“ und „BLOCK“ verwendet.
`action`	`event.idm.read_only_udm.security_result.action_details`	Direkt aus dem Feld `action` des Rohlogs zugeordnet. Es werden Werte wie „Weiterleitung“ verwendet.
`administrative_domain`	`event.idm.read_only_udm.principal.administrative_domain`	Direkt aus dem Feld `administrative_domain` des Rohlogs zugeordnet.
`agent.hostname`	`event.idm.read_only_udm.intermediary.hostname`	Direkt aus dem Feld `agent.hostname` des JSON-Logs zugeordnet.
`agent.id`	`event.idm.read_only_udm.intermediary.asset.id`	Direkt aus dem Feld `agent.id` des JSON-Logs zugeordnet.
`agent.name`	`event.idm.read_only_udm.intermediary.asset.name`	Direkt aus dem Feld `agent.name` des JSON-Logs zugeordnet.
`agent.type`	`event.idm.read_only_udm.intermediary.asset.type`	Direkt aus dem Feld `agent.type` des JSON-Logs zugeordnet.
`agent.version`	`event.idm.read_only_udm.intermediary.asset.version`	Direkt aus dem Feld `agent.version` des JSON-Logs zugeordnet.
`app_name`	`event.idm.read_only_udm.principal.application`	Direkt aus dem Feld `app_name` des Rohlogs zugeordnet.
`app_protocol`	`event.idm.read_only_udm.network.application_protocol`	Direkt aus dem Feld `app_protocol` des Rohlogs zugeordnet. Wenn der Wert mit „http“ übereinstimmt (Groß-/Kleinschreibung wird nicht beachtet), wird er „HTTP“ zugeordnet.
`application`	`event.idm.read_only_udm.principal.application`	Direkt aus dem Feld `program` des JSON-Logs zugeordnet.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Direkt aus dem Feld `cmd` des Rohlogs zugeordnet.
`collection_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Die Nanosekunden aus dem Feld `collection_time` werden zu den Sekunden aus dem Feld `collection_time` addiert, um `event_timestamp` zu erstellen.
`data`	`event.idm.read_only_udm.metadata.description`	Die Roh-Log-Nachricht wird geparst und relevante Teile werden extrahiert, um das Beschreibungsfeld zu füllen.
`descrip`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `descrip` des Rohlogs zugeordnet.
`dns.answers.data`	`event.idm.read_only_udm.network.dns.answers.data`	Direkt aus dem Feld `dns.answers.data` des JSON-Logs zugeordnet.
`dns.answers.ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	Direkt aus dem Feld `dns.answers.ttl` des JSON-Logs zugeordnet.
`dns.answers.type`	`event.idm.read_only_udm.network.dns.answers.type`	Direkt aus dem Feld `dns.answers.type` des JSON-Logs zugeordnet.
`dns.questions.name`	`event.idm.read_only_udm.network.dns.questions.name`	Direkt aus dem Feld `dns.questions.name` des JSON-Logs zugeordnet.
`dns.questions.type`	`event.idm.read_only_udm.network.dns.questions.type`	Direkt aus dem Feld `dns.questions.type` des JSON-Logs zugeordnet.
`dns.response`	`event.idm.read_only_udm.network.dns.response`	Direkt aus dem Feld `dns.response` des JSON-Logs zugeordnet.
`ecs.version`	`event.idm.read_only_udm.metadata.product_version`	Direkt aus dem Feld `ecs.version` des JSON-Logs zugeordnet.
`event_message`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `event_message` des JSON-Logs zugeordnet.
`event_metadata`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Das Feld `event_metadata` wird geparst, um den Wert `opID` zu extrahieren. Dieser wird dann mit „opID:“ vorangestellt und dem UDM zugeordnet.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Direkt aus dem Feld `event_type` des JSON-Logs zugeordnet.
`filepath`	`event.idm.read_only_udm.target.file.full_path`	Direkt aus dem Feld `filepath` des Rohlogs zugeordnet.
`fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Direkt aus dem Feld `fields.company_name` des JSON-Logs zugeordnet.
`fields.facility`	`event.idm.read_only_udm.principal.resource.type`	Direkt aus dem Feld `fields.facility` des JSON-Logs zugeordnet.
`fields.host`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `fields.host` des JSON-Logs zugeordnet.
`fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	Direkt aus dem Feld `fields.privatecloud_id` des JSON-Logs zugeordnet.
`fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	Direkt aus dem Feld `fields.privatecloud_name` des JSON-Logs zugeordnet.
`fields.procid`	`event.idm.read_only_udm.principal.process.pid`	Direkt aus dem Feld `fields.procid` des JSON-Logs zugeordnet.
`fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	Direkt aus dem Feld `fields.region_id` des JSON-Logs zugeordnet.
`fields.severity`	`event.idm.read_only_udm.security_result.severity`	Wird aus dem Feld `fields.severity` des JSON-Logs zugeordnet. Wenn der Wert „info“ oder ähnlich ist, wird er „INFORMATIONAL“ zugeordnet.
`host.architecture`	`event.idm.read_only_udm.principal.asset.architecture`	Direkt aus dem Feld `host.architecture` des JSON-Logs zugeordnet.
`host.containerized`	`event.idm.read_only_udm.principal.asset.containerized`	Direkt aus dem Feld `host.containerized` des JSON-Logs zugeordnet.
`host.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `host.hostname` des JSON-Logs zugeordnet.
`host.id`	`event.idm.read_only_udm.principal.asset.id`	Direkt aus dem Feld `host.id` des JSON-Logs zugeordnet.
`host.ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `host.ip` des JSON-Logs zugeordnet.
`host.mac`	`event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.principal.asset.mac`	Direkt aus dem Feld `host.mac` des JSON-Logs zugeordnet.
`host.name`	`event.idm.read_only_udm.principal.asset.name`	Direkt aus dem Feld `host.name` des JSON-Logs zugeordnet.
`host.os.codename`	`event.idm.read_only_udm.principal.asset.os.codename`	Direkt aus dem Feld `host.os.codename` des JSON-Logs zugeordnet.
`host.os.family`	`event.idm.read_only_udm.principal.asset.os.family`	Direkt aus dem Feld `host.os.family` des JSON-Logs zugeordnet.
`host.os.kernel`	`event.idm.read_only_udm.principal.asset.os.kernel`	Direkt aus dem Feld `host.os.kernel` des JSON-Logs zugeordnet.
`host.os.name`	`event.idm.read_only_udm.principal.asset.os.name`	Direkt aus dem Feld `host.os.name` des JSON-Logs zugeordnet.
`host.os.platform`	`event.idm.read_only_udm.principal.asset.os.platform`	Direkt aus dem Feld `host.os.platform` des JSON-Logs zugeordnet.
`host.os.version`	`event.idm.read_only_udm.principal.asset.os.version`	Direkt aus dem Feld `host.os.version` des JSON-Logs zugeordnet.
`iporhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `iporhost` des Rohlogs zugeordnet.
`iporhost`	`event.idm.read_only_udm.principal.ip`	Direkt aus dem Feld `iporhost` des Rohlogs zugeordnet, wenn es sich um eine IP-Adresse handelt.
`iporhost1`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `iporhost1` des Rohlogs zugeordnet.
`kv_data1`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Das Feld `kv_data1` wird geparst, um den Wert `opID` oder `sub` zu extrahieren. Dieser wird dann mit „opID:“ bzw. „sub:“ versehen und dem UDM zugeordnet.
`kv_msg`	`event.idm.read_only_udm.additional.fields`	Das Feld `kv_msg` wird als Schlüssel/Wert-Paare geparst und dem `additional_fields`-Array im UDM hinzugefügt.
`kv_msg1`	`event.idm.read_only_udm.additional.fields`	Das Feld `kv_msg1` wird als Schlüssel/Wert-Paare geparst und dem `additional_fields`-Array im UDM hinzugefügt.
`lbdn`	`event.idm.read_only_udm.target.hostname`	Direkt aus dem Feld `lbdn` des Rohlogs zugeordnet.
`log.source.address`	`event.idm.read_only_udm.observer.hostname`	Direkt aus dem Feld `log.source.address` des JSON-Logs zugeordnet, wobei nur der Hostname berücksichtigt wird.
`log_event.original`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `event.original` des JSON-Logs zugeordnet.
`log_level`	`event.idm.read_only_udm.security_result.severity_details`	Direkt aus dem Feld `log_level` des JSON-Logs zugeordnet.
`logstash.collect.host`	`event.idm.read_only_udm.observer.hostname`	Direkt aus dem Feld `logstash.collect.host` des JSON-Logs zugeordnet.
`logstash.collect.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Geparsed und mit dem Filter `date` in ein Zeitstempelobjekt aus dem Feld `logstash.collect.timestamp` des Logs konvertiert.
`logstash.ingest.host`	`event.idm.read_only_udm.intermediary.hostname`	Direkt aus dem Feld `logstash.ingest.host` des JSON-Logs zugeordnet.
`logstash.ingest.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Geparsed und mit dem Filter `date` in ein Zeitstempelobjekt aus dem Feld `logstash.ingest.timestamp` des Logs konvertiert.
`logstash.process.host`	`event.idm.read_only_udm.intermediary.hostname`	Direkt aus dem Feld `logstash.process.host` des JSON-Logs zugeordnet.
`logstash.process.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Geparsed und mit dem Filter `date` in ein Zeitstempelobjekt aus dem Feld `logstash.process.timestamp` des Logs konvertiert.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Direkt aus dem Feld `log_type` des Rohlogs zugeordnet.
`message`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `message` des JSON-Logs zugeordnet.
`message_to_process`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `message_to_process` des Rohlogs zugeordnet.
`metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Anfangs auf „GENERIC_EVENT“ festgelegt, wird dann möglicherweise basierend auf dem geparsten `service` oder anderen Protokollinhalten überschrieben. Mögliche Werte sind z. B. `PROCESS_LAUNCH`, `NETWORK_CONNECTION` und `USER_LOGIN`.
`metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `process_id` oder `prod_event_type` des Rohlogs zugeordnet.
`metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `event_id` des Rohlogs zugeordnet.
`metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Legen Sie diesen Wert auf „ESX“ fest.
`metadata.product_version`	`event.idm.read_only_udm.metadata.product_version`	Direkt aus dem Feld `version` des JSON-Logs zugeordnet.
`metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Legen Sie diesen Wert auf „VMWARE“ fest.
`msg`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `msg` des Rohlogs zugeordnet.
`network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	Auf „DNS“ festgelegt, wenn `service` „named“ ist, auf „HTTPS“, wenn der Port 443 ist, oder auf „HTTP“, wenn `app_protocol` mit „http“ übereinstimmt.
`network.direction`	`event.idm.read_only_udm.network.direction`	Wird anhand von Keywords im Rohlog ermittelt, z. B. „IN“, „OUT“, „->“. Kann `INBOUND` oder `OUTBOUND` sein.
`network.http.method`	`event.idm.read_only_udm.network.http.method`	Direkt aus dem Feld `method` des Rohlogs zugeordnet.
`network.http.parsed_user_agent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	Wird mit dem Filter `convert` aus dem Feld `useragent` geparst.
`network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	Direkt aus dem Feld `prin_url` des Rohlogs zugeordnet.
`network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	Direkt aus dem Feld `status_code` des Rohlogs zugeordnet und in eine Ganzzahl konvertiert.
`network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `useragent` des Rohlogs zugeordnet.
`network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Wird anhand von Keywords im Rohlog ermittelt, z. B. „TCP“ oder „UDP“.
`network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Direkt aus dem Feld `rec_bytes` des Rohlogs zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Aus dem Feld `message_to_process` des Rohlogs extrahiert.
`network.session_id`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Feld `session` des Rohlogs zugeordnet.
`pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	Direkt aus dem Feld `pid` des Rohlogs zugeordnet.
`pid`	`event.idm.read_only_udm.principal.process.pid`	Direkt aus dem Feld `pid` des JSON-Logs zugeordnet.
`pid`	`event.idm.read_only_udm.target.process.pid`	Direkt aus dem Feld `pid` des Rohlogs zugeordnet.
`port`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `port` des JSON-Logs zugeordnet.
`principal.application`	`event.idm.read_only_udm.principal.application`	Direkt aus dem Feld `app_name` oder `service` des Rohlogs zugeordnet.
`principal.asset.hostname`	`event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `principal_hostname` oder `iporhost` des Rohlogs zugeordnet.
`principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `syslog_ip` des Rohlogs zugeordnet.
`principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Direkt aus dem Feld `principal_hostname` oder `iporhost` des Rohlogs zugeordnet.
`principal.ip`	`event.idm.read_only_udm.principal.ip`	Direkt aus dem Feld `iporhost` oder `syslog_ip` des Rohlogs zugeordnet.
`principal.port`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `srcport` des Rohlogs zugeordnet.
`principal.process.command_line`	`event.idm.read_only_udm.principal.process.command_line`	Direkt aus dem Feld `cmd` des Rohlogs zugeordnet.
`principal.process.parent_process.pid`	`event.idm.read_only_udm.principal.process.parent_process.pid`	Direkt aus dem Feld `parent_pid` des Rohlogs zugeordnet.
`principal.process.pid`	`event.idm.read_only_udm.principal.process.pid`	Direkt aus dem Feld `process_id` des Rohlogs zugeordnet.
`principal.process.product_specific_process_id`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Wird aus dem Feld `message_to_process` des Rohlogs extrahiert und hat in der Regel das Präfix „opID:“.
`principal.url`	`event.idm.read_only_udm.principal.url`	Direkt aus dem Feld `prin_url` des Rohlogs zugeordnet.
`principal.user.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Direkt aus dem Feld `fields.company_name` des JSON-Logs zugeordnet.
`principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `USER` des Rohlogs zugeordnet.
`priority`	`event.idm.read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `priority` des Rohlogs zugeordnet.
`program`	`event.idm.read_only_udm.principal.application`	Direkt aus dem Feld `program` des JSON-Logs zugeordnet.
`qname`	`event.idm.read_only_udm.network.dns.questions.name`	Direkt aus dem Feld `qname` des Rohlogs zugeordnet.
`response_data`	`event.idm.read_only_udm.network.dns.answers.data`	Direkt aus dem Feld `response_data` des Rohlogs zugeordnet.
`response_rtype`	`event.idm.read_only_udm.network.dns.answers.type`	Direkt aus dem Feld `response_rtype` des Rohlogs zugeordnet. Der numerische DNS-Eintragstyp wird extrahiert.
`response_ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	Direkt aus dem Feld `response_ttl` des Rohlogs zugeordnet.
`rtype`	`event.idm.read_only_udm.network.dns.questions.type`	Direkt aus dem Feld `rtype` des Rohlogs zugeordnet. Der numerische DNS-Eintragstyp wird extrahiert.
`security_result.action`	`event.idm.read_only_udm.security_result.action`	Wird anhand von Keywords oder dem Status im Rohprotokoll ermittelt. Kann `ALLOW` oder `BLOCK` sein.
`security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	Aus der Rohprotokollnachricht extrahiert, um mehr Kontext zur ergriffenen Maßnahme zu liefern.
`security_result.category`	`event.idm.read_only_udm.security_result.category`	Auf `POLICY_VIOLATION` setzen, wenn das Log eine Übereinstimmung mit einer Firewallregel angibt.
`security_result.description`	`event.idm.read_only_udm.security_result.description`	Aus der Roh-Lognachricht extrahiert, um mehr Kontext zum Sicherheitsergebnis zu liefern.
`security_result.rule_id`	`event.idm.read_only_udm.security_result.rule_id`	Direkt aus dem Feld `rule_id` des Rohlogs zugeordnet.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Wird anhand von Keywords im Rohlog ermittelt, z. B. „info“, „warning“ oder „error“. Kann `INFORMATIONAL`, `LOW`, `MEDIUM` oder `HIGH` sein.
`security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Direkt aus dem Feld `severity` oder `log.syslog.severity.name` des Rohlogs zugeordnet.
`security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Aus der Rohlognachricht extrahiert und bietet eine kurze Zusammenfassung des Sicherheitsergebnisses.
`service`	`event.idm.read_only_udm.principal.application`	Direkt aus dem Feld `service` des Rohlogs zugeordnet.
`source`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `source` des Rohlogs zugeordnet.
`src.file.full_path`	`event.idm.read_only_udm.src.file.full_path`	Aus der Roh-Log-Nachricht extrahiert.
`src.hostname`	`event.idm.read_only_udm.src.hostname`	Direkt aus dem Feld `src.hostname` des Rohlogs zugeordnet.
`src_ip`	`event.idm.read_only_udm.principal.ip`	Direkt aus dem Feld `src_ip` des Rohlogs zugeordnet.
`src_mac_address`	`event.idm.read_only_udm.principal.mac`	Direkt aus dem Feld `src_mac_address` des Rohlogs zugeordnet.
`srcport`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `srcport` des Rohlogs zugeordnet.
`srcip`	`event.idm.read_only_udm.principal.ip`	Direkt aus dem Feld `srcip` des Rohlogs zugeordnet.
`subtype`	`event.idm.read_only_udm.metadata.event_type`	Direkt aus dem Feld `subtype` des Rohlogs zugeordnet.
`tags`	`event.idm.read_only_udm.metadata.tags`	Direkt aus dem Feld `tags` des JSON-Logs zugeordnet.
`target.application`	`event.idm.read_only_udm.target.application`	Direkt aus dem Feld `target_application` des Rohlogs zugeordnet.
`target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	Aus der Roh-Log-Nachricht extrahiert.
`target.hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Direkt aus dem Feld `target_hostname` oder `iporhost` des Rohlogs zugeordnet.
`target.ip`	`event.idm.read_only_udm.target.ip`	Direkt aus dem Feld `target_ip` des Rohlogs zugeordnet.
`target.mac`	`event.idm.read_only_udm.target.mac`	Direkt aus dem Feld `target_mac_address` des Rohlogs zugeordnet.
`target.port`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `target_port` des Rohlogs zugeordnet.
`target.process.command_line`	`event.idm.read_only_udm.target.process.command_line`	Direkt aus dem Feld `cmd` des Rohlogs zugeordnet.
`target.process.parent_process.pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	Direkt aus dem Feld `parent_pid` des Rohlogs zugeordnet.
`target.process.pid`	`event.idm.read_only_udm.target.process.pid`	Direkt aus dem Feld `pid` des Rohlogs zugeordnet.
`target.process.product_specific_process_id`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Wird aus dem Feld `message_to_process` des Rohlogs extrahiert und hat in der Regel das Präfix „opID:“.
`target.resource.name`	`event.idm.read_only_udm.target.resource.name`	Direkt aus dem Feld `adapter` des Rohlogs zugeordnet.
`target.resource.resource_type`	`event.idm.read_only_udm.target.resource.resource_type`	Auf `VIRTUAL_MACHINE` setzen, wenn das Log einen VM-Vorgang enthält.
`target.resource.type`	`event.idm.read_only_udm.target.resource.type`	Auf `SETTING` setzen, wenn das Protokoll eine Einstellungsänderung angibt.
`target.user.userid`	`event.idm.read_only_udm.target.user.userid`	Direkt aus dem Feld `target_username` oder `user1` des Rohlogs zugeordnet.
`timestamp`	`event.timestamp`	Geparsed und mit dem Filter `date` in ein Zeitstempelobjekt aus dem Feld `timestamp` oder `data` des Logs konvertiert.
`type`	`event.idm.read_only_udm.additional.fields`	Das Feld `type` des Logs wird dem Array `additional_fields` im UDM mit dem Schlüssel „LogType“ hinzugefügt.
`user1`	`event.idm.read_only_udm.target.user.userid`	Direkt aus dem Feld `user1` des Rohlogs zugeordnet.
`useragent`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `useragent` des Rohlogs zugeordnet.
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	Direkt aus dem Feld `vmw_cluster` des Rohlogs zugeordnet.
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.name`	Direkt aus dem Feld `vmw_datacenter` des Rohlogs zugeordnet.
`vmw_host`	`event.idm.read_only_udm.target.ip`	Direkt aus dem Feld `vmw_host` des Rohlogs zugeordnet.
`vmw_object_id`	`event.idm.read_only_udm.target.resource.id`	Direkt aus dem Feld `vmw_object_id` des Rohlogs zugeordnet.
`vmw_product`	`event.idm.read_only_udm.target.application`	Direkt aus dem Feld `vmw_product` des Rohlogs zugeordnet.
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	Direkt aus dem Feld `vmw_vcenter` des Rohlogs zugeordnet.
`vmw_vcenter_id`	`event.idm.read_only_udm.target.cloud.availability_zone.id`	Direkt aus dem Feld `vmw_vcenter_id` des Rohlogs zugeordnet.
`vmw_vr_ops_appname`	`event.idm.read_only_udm.target.application`	Direkt aus dem Feld `vmw_vr_ops_appname` des Rohlogs zugeordnet.
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.target.resource.name`	Direkt aus dem Feld `vmw_vr_ops_clustername` des Rohlogs zugeordnet.
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.target.resource.type`	Direkt aus dem Feld `vmw_vr_ops_clusterrole` des Rohlogs zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten