Recoger registros de VMware ESXi

Disponible en:

Información general

Este analizador extrae campos de registros con formato JSON y syslog de VMware ESXi. Normaliza la variedad de formatos de registro de ESXi en una estructura común y, a continuación, rellena los campos de UDM en función de los valores extraídos, incluidos los casos específicos de diferentes servicios de ESXi, como crond, named y sshd, mediante archivos de inclusión.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google SecOps.
  • Asegúrate de que tienes acceso con privilegios a VMWare ESX.
  • Asegúrate de tener un host Windows 2012 SP2 o posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

  1. Para instalar en Windows, ejecuta la siguiente secuencia de comandos: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Para instalar Linux, ejecuta la siguiente secuencia de comandos: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al equipo en el que está instalado el agente de Bindplane.

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reinicia el agente de Bindplane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Permitir la regla de cortafuegos de syslog de ESXi

  1. Ve a Redes > Reglas de firewall.
  2. Busque syslog en la columna Nombre.
  3. Haz clic en Editar configuración.
  4. Actualiza el puerto tcp o udp que hayas configurado en Bindplane.
  5. Haz clic en Guardar.
  6. Mantén seleccionada la línea syslog.
  7. Seleccione Acciones > Habilitar.

Exportar Syslog desde VMware ESXi con vSphere Client

  1. Inicia sesión en tu host ESXi con vSphere Client.
  2. Ve a Gestionar > Sistema > Ajustes avanzados.
  3. Busca la clave Syslog.global.logHost en la lista.
  4. Selecciona la clave y haz clic en Editar opción.
  5. Introduce <protocol>://<destination_IP>:<port>.
    • Sustituye <protocol> por tcp (si has configurado el agente de Bindplane para que use UDP, escribe udp).
    • Sustituye <destination_IP> por la dirección IP de tu agente de Bindplane.
    • Sustituye <port> por el puerto configurado anteriormente en el agente de Bindplane.
  6. Haz clic en Guardar.

Opcional: Exportar Syslog desde VMware ESXi mediante SSH

  1. Conéctate a tu host ESXi mediante SSH.
  2. Usa el comando esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>.
    • Sustituye <protocol> por tcp (si has configurado el agente de Bindplane para que use UDP, escribe udp).
    • Sustituye <destination_IP> por la dirección IP de tu agente de Bindplane.
    • Sustituye <port> por el puerto configurado anteriormente en Bindplane.
  3. Reinicia el servicio syslog introduciendo el comando /etc/init.d/syslog restart.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
@fields.alias event.idm.read_only_udm.principal.cloud.project.alias Se asigna directamente desde el campo @fields.alias del registro JSON.
@fields.company_name event.idm.read_only_udm.principal.user.company_name Se asigna directamente desde el campo @fields.company_name del registro JSON.
@fields.facility event.idm.read_only_udm.principal.resource.type Se asigna directamente desde el campo @fields.facility del registro JSON.
@fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo @fields.host del registro JSON.
@fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Se asigna directamente desde el campo @fields.privatecloud_id del registro JSON.
@fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Se asigna directamente desde el campo @fields.privatecloud_name del registro JSON.
@fields.procid event.idm.read_only_udm.principal.process.pid Se asigna directamente desde el campo @fields.procid del registro JSON.
@fields.region_id event.idm.read_only_udm.principal.location.country_or_region Se asigna directamente desde el campo @fields.region_id del registro JSON.
@fields.severity event.idm.read_only_udm.security_result.severity Se asigna desde el campo @fields.severity del registro JSON. Si el valor es "info" o similar, se asigna a "INFORMATIONAL".
@timestamp event.idm.read_only_udm.metadata.event_timestamp Se analiza y se convierte en un objeto de marca de tiempo a partir del campo @timestamp del registro mediante el filtro date.
adapter event.idm.read_only_udm.target.resource.name Se asigna directamente desde el campo adapter del registro sin procesar.
action event.idm.read_only_udm.security_result.action Se asigna directamente desde el campo action del registro sin procesar. Se usan valores como "ALLOW" y "BLOCK".
action event.idm.read_only_udm.security_result.action_details Se asigna directamente desde el campo action del registro sin procesar. Se usan valores como "Redirect".
administrative_domain event.idm.read_only_udm.principal.administrative_domain Se asigna directamente desde el campo administrative_domain del registro sin procesar.
agent.hostname event.idm.read_only_udm.intermediary.hostname Se asigna directamente desde el campo agent.hostname del registro JSON.
agent.id event.idm.read_only_udm.intermediary.asset.id Se asigna directamente desde el campo agent.id del registro JSON.
agent.name event.idm.read_only_udm.intermediary.asset.name Se asigna directamente desde el campo agent.name del registro JSON.
agent.type event.idm.read_only_udm.intermediary.asset.type Se asigna directamente desde el campo agent.type del registro JSON.
agent.version event.idm.read_only_udm.intermediary.asset.version Se asigna directamente desde el campo agent.version del registro JSON.
app_name event.idm.read_only_udm.principal.application Se asigna directamente desde el campo app_name del registro sin procesar.
app_protocol event.idm.read_only_udm.network.application_protocol Se asigna directamente desde el campo app_protocol del registro sin procesar. Si el valor coincide con "http" (sin distinguir entre mayúsculas y minúsculas), se asigna a "HTTP".
application event.idm.read_only_udm.principal.application Se asigna directamente desde el campo program del registro JSON.
cmd event.idm.read_only_udm.target.process.command_line Se asigna directamente desde el campo cmd del registro sin procesar.
collection_time event.idm.read_only_udm.metadata.event_timestamp Los nanosegundos del campo collection_time se añaden a los segundos del campo collection_time para crear el event_timestamp.
data event.idm.read_only_udm.metadata.description El mensaje de registro sin procesar se analiza y se extraen las partes relevantes para rellenar el campo de descripción.
descrip event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo descrip del registro sin procesar.
dns.answers.data event.idm.read_only_udm.network.dns.answers.data Se asigna directamente desde el campo dns.answers.data del registro JSON.
dns.answers.ttl event.idm.read_only_udm.network.dns.answers.ttl Se asigna directamente desde el campo dns.answers.ttl del registro JSON.
dns.answers.type event.idm.read_only_udm.network.dns.answers.type Se asigna directamente desde el campo dns.answers.type del registro JSON.
dns.questions.name event.idm.read_only_udm.network.dns.questions.name Se asigna directamente desde el campo dns.questions.name del registro JSON.
dns.questions.type event.idm.read_only_udm.network.dns.questions.type Se asigna directamente desde el campo dns.questions.type del registro JSON.
dns.response event.idm.read_only_udm.network.dns.response Se asigna directamente desde el campo dns.response del registro JSON.
ecs.version event.idm.read_only_udm.metadata.product_version Se asigna directamente desde el campo ecs.version del registro JSON.
event_message event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo event_message del registro JSON.
event_metadata event.idm.read_only_udm.principal.process.product_specific_process_id El campo event_metadata se analiza para extraer el valor opID, al que se le añade el prefijo "opID:" y se asigna al UDM.
event_type event.idm.read_only_udm.metadata.event_type Se asigna directamente desde el campo event_type del registro JSON.
filepath event.idm.read_only_udm.target.file.full_path Se asigna directamente desde el campo filepath del registro sin procesar.
fields.company_name event.idm.read_only_udm.principal.user.company_name Se asigna directamente desde el campo fields.company_name del registro JSON.
fields.facility event.idm.read_only_udm.principal.resource.type Se asigna directamente desde el campo fields.facility del registro JSON.
fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo fields.host del registro JSON.
fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Se asigna directamente desde el campo fields.privatecloud_id del registro JSON.
fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Se asigna directamente desde el campo fields.privatecloud_name del registro JSON.
fields.procid event.idm.read_only_udm.principal.process.pid Se asigna directamente desde el campo fields.procid del registro JSON.
fields.region_id event.idm.read_only_udm.principal.location.country_or_region Se asigna directamente desde el campo fields.region_id del registro JSON.
fields.severity event.idm.read_only_udm.security_result.severity Se asigna desde el campo fields.severity del registro JSON. Si el valor es "info" o similar, se asigna a "INFORMATIONAL".
host.architecture event.idm.read_only_udm.principal.asset.architecture Se asigna directamente desde el campo host.architecture del registro JSON.
host.containerized event.idm.read_only_udm.principal.asset.containerized Se asigna directamente desde el campo host.containerized del registro JSON.
host.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo host.hostname del registro JSON.
host.id event.idm.read_only_udm.principal.asset.id Se asigna directamente desde el campo host.id del registro JSON.
host.ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Se asigna directamente desde el campo host.ip del registro JSON.
host.mac event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.principal.asset.mac Se asigna directamente desde el campo host.mac del registro JSON.
host.name event.idm.read_only_udm.principal.asset.name Se asigna directamente desde el campo host.name del registro JSON.
host.os.codename event.idm.read_only_udm.principal.asset.os.codename Se asigna directamente desde el campo host.os.codename del registro JSON.
host.os.family event.idm.read_only_udm.principal.asset.os.family Se asigna directamente desde el campo host.os.family del registro JSON.
host.os.kernel event.idm.read_only_udm.principal.asset.os.kernel Se asigna directamente desde el campo host.os.kernel del registro JSON.
host.os.name event.idm.read_only_udm.principal.asset.os.name Se asigna directamente desde el campo host.os.name del registro JSON.
host.os.platform event.idm.read_only_udm.principal.asset.os.platform Se asigna directamente desde el campo host.os.platform del registro JSON.
host.os.version event.idm.read_only_udm.principal.asset.os.version Se asigna directamente desde el campo host.os.version del registro JSON.
iporhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo iporhost del registro sin procesar.
iporhost event.idm.read_only_udm.principal.ip Se asigna directamente desde el campo iporhost del registro sin procesar si es una dirección IP.
iporhost1 event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo iporhost1 del registro sin procesar.
kv_data1 event.idm.read_only_udm.principal.process.product_specific_process_id El campo kv_data1 se analiza para extraer el valor opID o sub, que se añade al principio con "opID:" o "sub:", respectivamente, y se asigna al UDM.
kv_msg event.idm.read_only_udm.additional.fields El campo kv_msg se analiza como pares clave-valor y se añade a la matriz additional_fields de UDM.
kv_msg1 event.idm.read_only_udm.additional.fields El campo kv_msg1 se analiza como pares clave-valor y se añade a la matriz additional_fields de UDM.
lbdn event.idm.read_only_udm.target.hostname Se asigna directamente desde el campo lbdn del registro sin procesar.
log.source.address event.idm.read_only_udm.observer.hostname Se asigna directamente desde el campo log.source.address del registro JSON y solo se toma la parte del nombre de host.
log_event.original event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo event.original del registro JSON.
log_level event.idm.read_only_udm.security_result.severity_details Se asigna directamente desde el campo log_level del registro JSON.
logstash.collect.host event.idm.read_only_udm.observer.hostname Se asigna directamente desde el campo logstash.collect.host del registro JSON.
logstash.collect.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Se analiza y se convierte en un objeto de marca de tiempo a partir del campo logstash.collect.timestamp del registro mediante el filtro date.
logstash.ingest.host event.idm.read_only_udm.intermediary.hostname Se asigna directamente desde el campo logstash.ingest.host del registro JSON.
logstash.ingest.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Se analiza y se convierte en un objeto de marca de tiempo a partir del campo logstash.ingest.timestamp del registro mediante el filtro date.
logstash.process.host event.idm.read_only_udm.intermediary.hostname Se asigna directamente desde el campo logstash.process.host del registro JSON.
logstash.process.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Se analiza y se convierte en un objeto de marca de tiempo a partir del campo logstash.process.timestamp del registro mediante el filtro date.
log_type event.idm.read_only_udm.metadata.log_type Se asigna directamente desde el campo log_type del registro sin procesar.
message event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo message del registro JSON.
message_to_process event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo message_to_process del registro sin procesar.
metadata.event_type event.idm.read_only_udm.metadata.event_type Inicialmente, se asigna el valor "GENERIC_EVENT", que se puede sobrescribir en función del valor analizado de service u otro contenido del registro. Pueden ser valores como PROCESS_LAUNCH, NETWORK_CONNECTION, USER_LOGIN, etc.
metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Se asigna directamente desde el campo process_id o prod_event_type del registro sin procesar.
metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Se asigna directamente desde el campo event_id del registro sin procesar.
metadata.product_name event.idm.read_only_udm.metadata.product_name Selecciona "ESX".
metadata.product_version event.idm.read_only_udm.metadata.product_version Se asigna directamente desde el campo version del registro JSON.
metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Asigna el valor "VMWARE".
msg event.idm.read_only_udm.metadata.description Se asigna directamente desde el campo msg del registro sin procesar.
network.application_protocol event.idm.read_only_udm.network.application_protocol Se asigna el valor "DNS" si service es "named", "HTTPS" si el puerto es 443 o "HTTP" si app_protocol coincide con "http".
network.direction event.idm.read_only_udm.network.direction Se determina a partir de palabras clave del registro sin procesar, como "IN", "OUT" o "->". Puede ser INBOUND o OUTBOUND.
network.http.method event.idm.read_only_udm.network.http.method Se asigna directamente desde el campo method del registro sin procesar.
network.http.parsed_user_agent event.idm.read_only_udm.network.http.parsed_user_agent Se analiza a partir del campo useragent mediante el filtro convert.
network.http.referral_url event.idm.read_only_udm.network.http.referral_url Se asigna directamente desde el campo prin_url del registro sin procesar.
network.http.response_code event.idm.read_only_udm.network.http.response_code Se asigna directamente desde el campo status_code del registro sin procesar y se convierte en un número entero.
network.http.user_agent event.idm.read_only_udm.network.http.user_agent Se asigna directamente desde el campo useragent del registro sin procesar.
network.ip_protocol event.idm.read_only_udm.network.ip_protocol Se determina a partir de palabras clave del registro sin procesar, como "TCP" o "UDP".
network.received_bytes event.idm.read_only_udm.network.received_bytes Se asigna directamente desde el campo rec_bytes del registro sin procesar y se convierte en un entero sin signo.
network.sent_bytes event.idm.read_only_udm.network.sent_bytes Se ha extraído del campo message_to_process del registro sin procesar.
network.session_id event.idm.read_only_udm.network.session_id Se asigna directamente desde el campo session del registro sin procesar.
pid event.idm.read_only_udm.target.process.parent_process.pid Se asigna directamente desde el campo pid del registro sin procesar.
pid event.idm.read_only_udm.principal.process.pid Se asigna directamente desde el campo pid del registro JSON.
pid event.idm.read_only_udm.target.process.pid Se asigna directamente desde el campo pid del registro sin procesar.
port event.idm.read_only_udm.target.port Se asigna directamente desde el campo port del registro JSON.
principal.application event.idm.read_only_udm.principal.application Se asigna directamente desde el campo app_name o service del registro sin procesar.
principal.asset.hostname event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo principal_hostname o iporhost del registro sin procesar.
principal.asset.ip event.idm.read_only_udm.principal.asset.ip Se asigna directamente desde el campo syslog_ip del registro sin procesar.
principal.hostname event.idm.read_only_udm.principal.hostname Se asigna directamente desde el campo principal_hostname o iporhost del registro sin procesar.
principal.ip event.idm.read_only_udm.principal.ip Se asigna directamente desde el campo iporhost o syslog_ip del registro sin procesar.
principal.port event.idm.read_only_udm.principal.port Se asigna directamente desde el campo srcport del registro sin procesar.
principal.process.command_line event.idm.read_only_udm.principal.process.command_line Se asigna directamente desde el campo cmd del registro sin procesar.
principal.process.parent_process.pid event.idm.read_only_udm.principal.process.parent_process.pid Se asigna directamente desde el campo parent_pid del registro sin procesar.
principal.process.pid event.idm.read_only_udm.principal.process.pid Se asigna directamente desde el campo process_id del registro sin procesar.
principal.process.product_specific_process_id event.idm.read_only_udm.principal.process.product_specific_process_id Se extrae del campo message_to_process del registro sin procesar, que suele tener el prefijo "opID:".
principal.url event.idm.read_only_udm.principal.url Se asigna directamente desde el campo prin_url del registro sin procesar.
principal.user.company_name event.idm.read_only_udm.principal.user.company_name Se asigna directamente desde el campo fields.company_name del registro JSON.
principal.user.userid event.idm.read_only_udm.principal.user.userid Se asigna directamente desde el campo USER del registro sin procesar.
priority event.idm.read_only_udm.metadata.product_event_type Se asigna directamente desde el campo priority del registro sin procesar.
program event.idm.read_only_udm.principal.application Se asigna directamente desde el campo program del registro JSON.
qname event.idm.read_only_udm.network.dns.questions.name Se asigna directamente desde el campo qname del registro sin procesar.
response_data event.idm.read_only_udm.network.dns.answers.data Se asigna directamente desde el campo response_data del registro sin procesar.
response_rtype event.idm.read_only_udm.network.dns.answers.type Se asigna directamente desde el campo response_rtype del registro sin procesar. Se extrae el tipo de registro DNS numérico.
response_ttl event.idm.read_only_udm.network.dns.answers.ttl Se asigna directamente desde el campo response_ttl del registro sin procesar.
rtype event.idm.read_only_udm.network.dns.questions.type Se asigna directamente desde el campo rtype del registro sin procesar. Se extrae el tipo de registro DNS numérico.
security_result.action event.idm.read_only_udm.security_result.action Se determina a partir de las palabras clave o el estado del registro sin procesar. Puede ser ALLOW (lector) u BLOCK (propietario).
security_result.action_details event.idm.read_only_udm.security_result.action_details Se extrae del mensaje de registro sin procesar y proporciona más contexto sobre la acción realizada.
security_result.category event.idm.read_only_udm.security_result.category Se establece en POLICY_VIOLATION si el registro indica que se ha encontrado una coincidencia con una regla de cortafuegos.
security_result.description event.idm.read_only_udm.security_result.description Se extrae del mensaje de registro sin procesar y proporciona más contexto sobre el resultado de seguridad.
security_result.rule_id event.idm.read_only_udm.security_result.rule_id Se asigna directamente desde el campo rule_id del registro sin procesar.
security_result.severity event.idm.read_only_udm.security_result.severity Se determina a partir de palabras clave del registro sin procesar, como "info", "warning" o "error". Puede ser INFORMATIONAL, LOW, MEDIUM o HIGH.
security_result.severity_details event.idm.read_only_udm.security_result.severity_details Se asigna directamente desde el campo severity o log.syslog.severity.name del registro sin procesar.
security_result.summary event.idm.read_only_udm.security_result.summary Se extrae del mensaje de registro sin procesar y proporciona un resumen conciso del resultado de seguridad.
service event.idm.read_only_udm.principal.application Se asigna directamente desde el campo service del registro sin procesar.
source event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se asigna directamente desde el campo source del registro sin procesar.
src.file.full_path event.idm.read_only_udm.src.file.full_path Extraído del mensaje de registro sin procesar.
src.hostname event.idm.read_only_udm.src.hostname Se asigna directamente desde el campo src.hostname del registro sin procesar.
src_ip event.idm.read_only_udm.principal.ip Se asigna directamente desde el campo src_ip del registro sin procesar.
src_mac_address event.idm.read_only_udm.principal.mac Se asigna directamente desde el campo src_mac_address del registro sin procesar.
srcport event.idm.read_only_udm.principal.port Se asigna directamente desde el campo srcport del registro sin procesar.
srcip event.idm.read_only_udm.principal.ip Se asigna directamente desde el campo srcip del registro sin procesar.
subtype event.idm.read_only_udm.metadata.event_type Se asigna directamente desde el campo subtype del registro sin procesar.
tags event.idm.read_only_udm.metadata.tags Se asigna directamente desde el campo tags del registro JSON.
target.application event.idm.read_only_udm.target.application Se asigna directamente desde el campo target_application del registro sin procesar.
target.file.full_path event.idm.read_only_udm.target.file.full_path Extraído del mensaje de registro sin procesar.
target.hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Se asigna directamente desde el campo target_hostname o iporhost del registro sin procesar.
target.ip event.idm.read_only_udm.target.ip Se asigna directamente desde el campo target_ip del registro sin procesar.
target.mac event.idm.read_only_udm.target.mac Se asigna directamente desde el campo target_mac_address del registro sin procesar.
target.port event.idm.read_only_udm.target.port Se asigna directamente desde el campo target_port del registro sin procesar.
target.process.command_line event.idm.read_only_udm.target.process.command_line Se asigna directamente desde el campo cmd del registro sin procesar.
target.process.parent_process.pid event.idm.read_only_udm.target.process.parent_process.pid Se asigna directamente desde el campo parent_pid del registro sin procesar.
target.process.pid event.idm.read_only_udm.target.process.pid Se asigna directamente desde el campo pid del registro sin procesar.
target.process.product_specific_process_id event.idm.read_only_udm.target.process.product_specific_process_id Se extrae del campo message_to_process del registro sin procesar, que suele tener el prefijo "opID:".
target.resource.name event.idm.read_only_udm.target.resource.name Se asigna directamente desde el campo adapter del registro sin procesar.
target.resource.resource_type event.idm.read_only_udm.target.resource.resource_type Se establece en VIRTUAL_MACHINE si el registro indica una operación de VM.
target.resource.type event.idm.read_only_udm.target.resource.type Asigna el valor SETTING si el registro indica una modificación de un ajuste.
target.user.userid event.idm.read_only_udm.target.user.userid Se asigna directamente desde el campo target_username o user1 del registro sin procesar.
timestamp event.timestamp Se analiza y se convierte en un objeto de marca de tiempo a partir del campo timestamp o data del registro mediante el filtro date.
type event.idm.read_only_udm.additional.fields El campo type del registro se añade a la matriz additional_fields del UDM con la clave "LogType".
user1 event.idm.read_only_udm.target.user.userid Se asigna directamente desde el campo user1 del registro sin procesar.
useragent event.idm.read_only_udm.network.http.user_agent Se asigna directamente desde el campo useragent del registro sin procesar.
vmw_cluster event.idm.read_only_udm.target.resource.name Se asigna directamente desde el campo vmw_cluster del registro sin procesar.
vmw_datacenter event.idm.read_only_udm.target.resource.name Se asigna directamente desde el campo vmw_datacenter del registro sin procesar.
vmw_host event.idm.read_only_udm.target.ip Se asigna directamente desde el campo vmw_host del registro sin procesar.
vmw_object_id event.idm.read_only_udm.target.resource.id Se asigna directamente desde el campo vmw_object_id del registro sin procesar.
vmw_product event.idm.read_only_udm.target.application Se asigna directamente desde el campo vmw_product del registro sin procesar.
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone Se asigna directamente desde el campo vmw_vcenter del registro sin procesar.
vmw_vcenter_id event.idm.read_only_udm.target.cloud.availability_zone.id Se asigna directamente desde el campo vmw_vcenter_id del registro sin procesar.
vmw_vr_ops_appname event.idm.read_only_udm.target.application Se asigna directamente desde el campo vmw_vr_ops_appname del registro sin procesar.
vmw_vr_ops_clustername event.idm.read_only_udm.target.resource.name Se asigna directamente desde el campo vmw_vr_ops_clustername del registro sin procesar.
vmw_vr_ops_clusterrole event.idm.read_only_udm.target.resource.type Se asigna directamente desde el campo vmw_vr_ops_clusterrole del registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.