Collecter les journaux VMware ESXi

Compatible avec :

Présentation

Ce parseur extrait les champs des journaux au format syslog et JSON de VMware ESXi. Il normalise la variété des formats de journaux ESXi dans une structure commune, puis remplit les champs UDM en fonction des valeurs extraites, y compris en gérant des cas spécifiques pour différents services ESXi tels que crond, named et sshd à l'aide de fichiers d'inclusion.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à VMWare ESX.
  • Assurez-vous de disposer d'un hôte Windows 2012 SP2 ou version ultérieure, ou d'un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM > Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

  1. Pour l'installation sous Windows, exécutez le script suivant : msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Pour installer Linux, exécutez le script suivant : sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Vous trouverez d'autres options d'installation dans ce guide d'installation.

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

  1. Accédez à la machine sur laquelle l'agent Bindplane est installé.

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Redémarrez l'agent Bindplane pour appliquer les modifications à l'aide de la commande suivante : sudo systemctl bindplane restart

Autoriser la règle de pare-feu syslog ESXi

  1. Accédez à Mise en réseau > Règles de pare-feu.
  2. Recherchez syslog dans la colonne Nom.
  3. Cliquez sur Modifier les paramètres.
  4. Mettez à jour le port tcp ou udp que vous avez configuré dans Bindplane.
  5. Cliquez sur Enregistrer.
  6. Laissez la ligne syslog sélectionnée.
  7. Sélectionnez Actions > Activer.

Exporter Syslog depuis VMware ESXi à l'aide du client vSphere

  1. Connectez-vous à votre hôte ESXi à l'aide du client vSphere.
  2. Accédez à Gérer > Système > Paramètres avancés.
  3. Recherchez la clé Syslog.global.logHost dans la liste.
  4. Sélectionnez la clé, puis cliquez sur l'option de modification.
  5. Saisissez <protocol>://<destination_IP>:<port>.
    • Remplacez <protocol> par tcp (si vous avez configuré l'agent Bindplane pour qu'il utilise UDP, saisissez udp).
    • Remplacez <destination_IP> par l'adresse IP de votre agent Bindplane.
    • Remplacez <port> par le port précédemment configuré dans Bindplane Agent.
  6. Cliquez sur Enregistrer.

Facultatif : Exporter Syslog depuis VMware ESXi à l'aide de SSH

  1. Connectez-vous à votre hôte ESXi à l'aide de SSH.
  2. Exécutez la commande esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>.
    • Remplacez <protocol> par tcp (si vous avez configuré l'agent Bindplane pour qu'il utilise UDP, saisissez udp).
    • Remplacez <destination_IP> par l'adresse IP de votre agent Bindplane.
    • Remplacez <port> par le port précédemment configuré dans Bindplane.
  3. Redémarrez le service syslog en saisissant la commande /etc/init.d/syslog restart.

Table de mappage UDM

Champ de journal Mappage UDM Logique
@fields.alias event.idm.read_only_udm.principal.cloud.project.alias Mappé directement à partir du champ @fields.alias du journal JSON.
@fields.company_name event.idm.read_only_udm.principal.user.company_name Mappé directement à partir du champ @fields.company_name du journal JSON.
@fields.facility event.idm.read_only_udm.principal.resource.type Mappé directement à partir du champ @fields.facility du journal JSON.
@fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ @fields.host du journal JSON.
@fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Mappé directement à partir du champ @fields.privatecloud_id du journal JSON.
@fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Mappé directement à partir du champ @fields.privatecloud_name du journal JSON.
@fields.procid event.idm.read_only_udm.principal.process.pid Mappé directement à partir du champ @fields.procid du journal JSON.
@fields.region_id event.idm.read_only_udm.principal.location.country_or_region Mappé directement à partir du champ @fields.region_id du journal JSON.
@fields.severity event.idm.read_only_udm.security_result.severity Mappé à partir du champ @fields.severity du journal JSON. Si la valeur est "info" ou similaire, elle est mappée sur "INFORMATIONAL".
@timestamp event.idm.read_only_udm.metadata.event_timestamp Analysé et converti en objet d'horodatage à partir du champ @timestamp du journal à l'aide du filtre date.
adapter event.idm.read_only_udm.target.resource.name Mappé directement à partir du champ adapter du journal brut.
action event.idm.read_only_udm.security_result.action Mappé directement à partir du champ action du journal brut. Des valeurs telles que "ALLOW" (AUTORISER) et "BLOCK" (BLOQUER) sont utilisées.
action event.idm.read_only_udm.security_result.action_details Mappé directement à partir du champ action du journal brut. Des valeurs telles que "Redirection" sont utilisées.
administrative_domain event.idm.read_only_udm.principal.administrative_domain Mappé directement à partir du champ administrative_domain du journal brut.
agent.hostname event.idm.read_only_udm.intermediary.hostname Mappé directement à partir du champ agent.hostname du journal JSON.
agent.id event.idm.read_only_udm.intermediary.asset.id Mappé directement à partir du champ agent.id du journal JSON.
agent.name event.idm.read_only_udm.intermediary.asset.name Mappé directement à partir du champ agent.name du journal JSON.
agent.type event.idm.read_only_udm.intermediary.asset.type Mappé directement à partir du champ agent.type du journal JSON.
agent.version event.idm.read_only_udm.intermediary.asset.version Mappé directement à partir du champ agent.version du journal JSON.
app_name event.idm.read_only_udm.principal.application Mappé directement à partir du champ app_name du journal brut.
app_protocol event.idm.read_only_udm.network.application_protocol Mappé directement à partir du champ app_protocol du journal brut. Si la valeur correspond à "http" (sans tenir compte de la casse), elle est mappée sur "HTTP".
application event.idm.read_only_udm.principal.application Mappé directement à partir du champ program du journal JSON.
cmd event.idm.read_only_udm.target.process.command_line Mappé directement à partir du champ cmd du journal brut.
collection_time event.idm.read_only_udm.metadata.event_timestamp Les nanosecondes du champ collection_time sont ajoutées aux secondes du champ collection_time pour créer event_timestamp.
data event.idm.read_only_udm.metadata.description Le message de journal brut est analysé et les parties pertinentes sont extraites pour remplir le champ de description.
descrip event.idm.read_only_udm.metadata.description Mappé directement à partir du champ descrip du journal brut.
dns.answers.data event.idm.read_only_udm.network.dns.answers.data Mappé directement à partir du champ dns.answers.data du journal JSON.
dns.answers.ttl event.idm.read_only_udm.network.dns.answers.ttl Mappé directement à partir du champ dns.answers.ttl du journal JSON.
dns.answers.type event.idm.read_only_udm.network.dns.answers.type Mappé directement à partir du champ dns.answers.type du journal JSON.
dns.questions.name event.idm.read_only_udm.network.dns.questions.name Mappé directement à partir du champ dns.questions.name du journal JSON.
dns.questions.type event.idm.read_only_udm.network.dns.questions.type Mappé directement à partir du champ dns.questions.type du journal JSON.
dns.response event.idm.read_only_udm.network.dns.response Mappé directement à partir du champ dns.response du journal JSON.
ecs.version event.idm.read_only_udm.metadata.product_version Mappé directement à partir du champ ecs.version du journal JSON.
event_message event.idm.read_only_udm.metadata.description Mappé directement à partir du champ event_message du journal JSON.
event_metadata event.idm.read_only_udm.principal.process.product_specific_process_id Le champ event_metadata est analysé pour extraire la valeur opID, qui est ensuite précédée de "opID:" et mappée à l'UDM.
event_type event.idm.read_only_udm.metadata.event_type Mappé directement à partir du champ event_type du journal JSON.
filepath event.idm.read_only_udm.target.file.full_path Mappé directement à partir du champ filepath du journal brut.
fields.company_name event.idm.read_only_udm.principal.user.company_name Mappé directement à partir du champ fields.company_name du journal JSON.
fields.facility event.idm.read_only_udm.principal.resource.type Mappé directement à partir du champ fields.facility du journal JSON.
fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ fields.host du journal JSON.
fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Mappé directement à partir du champ fields.privatecloud_id du journal JSON.
fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Mappé directement à partir du champ fields.privatecloud_name du journal JSON.
fields.procid event.idm.read_only_udm.principal.process.pid Mappé directement à partir du champ fields.procid du journal JSON.
fields.region_id event.idm.read_only_udm.principal.location.country_or_region Mappé directement à partir du champ fields.region_id du journal JSON.
fields.severity event.idm.read_only_udm.security_result.severity Mappé à partir du champ fields.severity du journal JSON. Si la valeur est "info" ou similaire, elle est mappée sur "INFORMATIONAL".
host.architecture event.idm.read_only_udm.principal.asset.architecture Mappé directement à partir du champ host.architecture du journal JSON.
host.containerized event.idm.read_only_udm.principal.asset.containerized Mappé directement à partir du champ host.containerized du journal JSON.
host.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ host.hostname du journal JSON.
host.id event.idm.read_only_udm.principal.asset.id Mappé directement à partir du champ host.id du journal JSON.
host.ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ host.ip du journal JSON.
host.mac event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.principal.asset.mac Mappé directement à partir du champ host.mac du journal JSON.
host.name event.idm.read_only_udm.principal.asset.name Mappé directement à partir du champ host.name du journal JSON.
host.os.codename event.idm.read_only_udm.principal.asset.os.codename Mappé directement à partir du champ host.os.codename du journal JSON.
host.os.family event.idm.read_only_udm.principal.asset.os.family Mappé directement à partir du champ host.os.family du journal JSON.
host.os.kernel event.idm.read_only_udm.principal.asset.os.kernel Mappé directement à partir du champ host.os.kernel du journal JSON.
host.os.name event.idm.read_only_udm.principal.asset.os.name Mappé directement à partir du champ host.os.name du journal JSON.
host.os.platform event.idm.read_only_udm.principal.asset.os.platform Mappé directement à partir du champ host.os.platform du journal JSON.
host.os.version event.idm.read_only_udm.principal.asset.os.version Mappé directement à partir du champ host.os.version du journal JSON.
iporhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ iporhost du journal brut.
iporhost event.idm.read_only_udm.principal.ip Mappé directement à partir du champ iporhost du journal brut s'il s'agit d'une adresse IP.
iporhost1 event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ iporhost1 du journal brut.
kv_data1 event.idm.read_only_udm.principal.process.product_specific_process_id Le champ kv_data1 est analysé pour extraire la valeur opID ou sub, qui est ensuite précédée de "opID:" ou "sub:", respectivement, et mappée à l'UDM.
kv_msg event.idm.read_only_udm.additional.fields Le champ kv_msg est analysé sous forme de paires clé/valeur et ajouté au tableau additional_fields dans l'UDM.
kv_msg1 event.idm.read_only_udm.additional.fields Le champ kv_msg1 est analysé sous forme de paires clé/valeur et ajouté au tableau additional_fields dans l'UDM.
lbdn event.idm.read_only_udm.target.hostname Mappé directement à partir du champ lbdn du journal brut.
log.source.address event.idm.read_only_udm.observer.hostname Mappé directement à partir du champ log.source.address du journal JSON, en ne prenant que la partie du nom d'hôte.
log_event.original event.idm.read_only_udm.metadata.description Mappé directement à partir du champ event.original du journal JSON.
log_level event.idm.read_only_udm.security_result.severity_details Mappé directement à partir du champ log_level du journal JSON.
logstash.collect.host event.idm.read_only_udm.observer.hostname Mappé directement à partir du champ logstash.collect.host du journal JSON.
logstash.collect.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analysé et converti en objet d'horodatage à partir du champ logstash.collect.timestamp du journal à l'aide du filtre date.
logstash.ingest.host event.idm.read_only_udm.intermediary.hostname Mappé directement à partir du champ logstash.ingest.host du journal JSON.
logstash.ingest.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analysé et converti en objet d'horodatage à partir du champ logstash.ingest.timestamp du journal à l'aide du filtre date.
logstash.process.host event.idm.read_only_udm.intermediary.hostname Mappé directement à partir du champ logstash.process.host du journal JSON.
logstash.process.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analysé et converti en objet d'horodatage à partir du champ logstash.process.timestamp du journal à l'aide du filtre date.
log_type event.idm.read_only_udm.metadata.log_type Mappé directement à partir du champ log_type du journal brut.
message event.idm.read_only_udm.metadata.description Mappé directement à partir du champ message du journal JSON.
message_to_process event.idm.read_only_udm.metadata.description Mappé directement à partir du champ message_to_process du journal brut.
metadata.event_type event.idm.read_only_udm.metadata.event_type La valeur est initialement définie sur "GENERIC_EVENT", puis peut être remplacée en fonction du contenu service analysé ou d'autres contenus de journaux. Il peut s'agir de valeurs telles que PROCESS_LAUNCH, NETWORK_CONNECTION, USER_LOGIN, etc.
metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Directement mappé à partir du champ process_id ou prod_event_type du journal brut.
metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ event_id du journal brut.
metadata.product_name event.idm.read_only_udm.metadata.product_name Définissez-le sur "ESX".
metadata.product_version event.idm.read_only_udm.metadata.product_version Mappé directement à partir du champ version du journal JSON.
metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Défini sur "VMWARE".
msg event.idm.read_only_udm.metadata.description Mappé directement à partir du champ msg du journal brut.
network.application_protocol event.idm.read_only_udm.network.application_protocol Définissez la valeur sur "DNS" si service est "named", sur "HTTPS" si le port est 443 ou sur "HTTP" si app_protocol correspond à "http".
network.direction event.idm.read_only_udm.network.direction Déterminé à partir des mots clés du journal brut, tels que "IN", "OUT" ou "->". Peut être INBOUND ou OUTBOUND.
network.http.method event.idm.read_only_udm.network.http.method Mappé directement à partir du champ method du journal brut.
network.http.parsed_user_agent event.idm.read_only_udm.network.http.parsed_user_agent Analysé à partir du champ useragent à l'aide du filtre convert.
network.http.referral_url event.idm.read_only_udm.network.http.referral_url Mappé directement à partir du champ prin_url du journal brut.
network.http.response_code event.idm.read_only_udm.network.http.response_code Mappé directement à partir du champ status_code du journal brut et converti en entier.
network.http.user_agent event.idm.read_only_udm.network.http.user_agent Mappé directement à partir du champ useragent du journal brut.
network.ip_protocol event.idm.read_only_udm.network.ip_protocol Déterminé à partir des mots clés du journal brut, tels que "TCP" ou "UDP".
network.received_bytes event.idm.read_only_udm.network.received_bytes Mappé directement à partir du champ rec_bytes du journal brut et converti en entier non signé.
network.sent_bytes event.idm.read_only_udm.network.sent_bytes Extrait du champ message_to_process du journal brut.
network.session_id event.idm.read_only_udm.network.session_id Mappé directement à partir du champ session du journal brut.
pid event.idm.read_only_udm.target.process.parent_process.pid Mappé directement à partir du champ pid du journal brut.
pid event.idm.read_only_udm.principal.process.pid Mappé directement à partir du champ pid du journal JSON.
pid event.idm.read_only_udm.target.process.pid Mappé directement à partir du champ pid du journal brut.
port event.idm.read_only_udm.target.port Mappé directement à partir du champ port du journal JSON.
principal.application event.idm.read_only_udm.principal.application Directement mappé à partir du champ app_name ou service du journal brut.
principal.asset.hostname event.idm.read_only_udm.principal.asset.hostname Directement mappé à partir du champ principal_hostname ou iporhost du journal brut.
principal.asset.ip event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ syslog_ip du journal brut.
principal.hostname event.idm.read_only_udm.principal.hostname Directement mappé à partir du champ principal_hostname ou iporhost du journal brut.
principal.ip event.idm.read_only_udm.principal.ip Directement mappé à partir du champ iporhost ou syslog_ip du journal brut.
principal.port event.idm.read_only_udm.principal.port Mappé directement à partir du champ srcport du journal brut.
principal.process.command_line event.idm.read_only_udm.principal.process.command_line Mappé directement à partir du champ cmd du journal brut.
principal.process.parent_process.pid event.idm.read_only_udm.principal.process.parent_process.pid Mappé directement à partir du champ parent_pid du journal brut.
principal.process.pid event.idm.read_only_udm.principal.process.pid Mappé directement à partir du champ process_id du journal brut.
principal.process.product_specific_process_id event.idm.read_only_udm.principal.process.product_specific_process_id Extrait du champ message_to_process du journal brut, généralement précédé de "opID:".
principal.url event.idm.read_only_udm.principal.url Mappé directement à partir du champ prin_url du journal brut.
principal.user.company_name event.idm.read_only_udm.principal.user.company_name Mappé directement à partir du champ fields.company_name du journal JSON.
principal.user.userid event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ USER du journal brut.
priority event.idm.read_only_udm.metadata.product_event_type Mappé directement à partir du champ priority du journal brut.
program event.idm.read_only_udm.principal.application Mappé directement à partir du champ program du journal JSON.
qname event.idm.read_only_udm.network.dns.questions.name Mappé directement à partir du champ qname du journal brut.
response_data event.idm.read_only_udm.network.dns.answers.data Mappé directement à partir du champ response_data du journal brut.
response_rtype event.idm.read_only_udm.network.dns.answers.type Mappé directement à partir du champ response_rtype du journal brut. Le type d'enregistrement DNS numérique est extrait.
response_ttl event.idm.read_only_udm.network.dns.answers.ttl Mappé directement à partir du champ response_ttl du journal brut.
rtype event.idm.read_only_udm.network.dns.questions.type Mappé directement à partir du champ rtype du journal brut. Le type d'enregistrement DNS numérique est extrait.
security_result.action event.idm.read_only_udm.security_result.action Déterminé à partir des mots clés ou de l'état dans le journal brut. Il peut s'agir de ALLOW ou BLOCK.
security_result.action_details event.idm.read_only_udm.security_result.action_details Extrait du message de journal brut, il fournit plus de contexte sur l'action effectuée.
security_result.category event.idm.read_only_udm.security_result.category Définissez sur POLICY_VIOLATION si le journal indique une correspondance de règle de pare-feu.
security_result.description event.idm.read_only_udm.security_result.description Extrait du message de journal brut, il fournit plus de contexte sur le résultat de sécurité.
security_result.rule_id event.idm.read_only_udm.security_result.rule_id Mappé directement à partir du champ rule_id du journal brut.
security_result.severity event.idm.read_only_udm.security_result.severity Déterminé à partir des mots clés du journal brut, tels que "info", "warning" ou "error". Il peut s'agir de INFORMATIONAL, LOW, MEDIUM ou HIGH.
security_result.severity_details event.idm.read_only_udm.security_result.severity_details Directement mappé à partir du champ severity ou log.syslog.severity.name du journal brut.
security_result.summary event.idm.read_only_udm.security_result.summary Extrait du message de journal brut, il fournit un résumé concis du résultat de sécurité.
service event.idm.read_only_udm.principal.application Mappé directement à partir du champ service du journal brut.
source event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ source du journal brut.
src.file.full_path event.idm.read_only_udm.src.file.full_path Extrait du message de journal brut.
src.hostname event.idm.read_only_udm.src.hostname Mappé directement à partir du champ src.hostname du journal brut.
src_ip event.idm.read_only_udm.principal.ip Mappé directement à partir du champ src_ip du journal brut.
src_mac_address event.idm.read_only_udm.principal.mac Mappé directement à partir du champ src_mac_address du journal brut.
srcport event.idm.read_only_udm.principal.port Mappé directement à partir du champ srcport du journal brut.
srcip event.idm.read_only_udm.principal.ip Mappé directement à partir du champ srcip du journal brut.
subtype event.idm.read_only_udm.metadata.event_type Mappé directement à partir du champ subtype du journal brut.
tags event.idm.read_only_udm.metadata.tags Mappé directement à partir du champ tags du journal JSON.
target.application event.idm.read_only_udm.target.application Mappé directement à partir du champ target_application du journal brut.
target.file.full_path event.idm.read_only_udm.target.file.full_path Extrait du message de journal brut.
target.hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Directement mappé à partir du champ target_hostname ou iporhost du journal brut.
target.ip event.idm.read_only_udm.target.ip Mappé directement à partir du champ target_ip du journal brut.
target.mac event.idm.read_only_udm.target.mac Mappé directement à partir du champ target_mac_address du journal brut.
target.port event.idm.read_only_udm.target.port Mappé directement à partir du champ target_port du journal brut.
target.process.command_line event.idm.read_only_udm.target.process.command_line Mappé directement à partir du champ cmd du journal brut.
target.process.parent_process.pid event.idm.read_only_udm.target.process.parent_process.pid Mappé directement à partir du champ parent_pid du journal brut.
target.process.pid event.idm.read_only_udm.target.process.pid Mappé directement à partir du champ pid du journal brut.
target.process.product_specific_process_id event.idm.read_only_udm.target.process.product_specific_process_id Extrait du champ message_to_process du journal brut, généralement précédé de "opID:".
target.resource.name event.idm.read_only_udm.target.resource.name Mappé directement à partir du champ adapter du journal brut.
target.resource.resource_type event.idm.read_only_udm.target.resource.resource_type Définissez sur VIRTUAL_MACHINE si le journal indique une opération de VM.
target.resource.type event.idm.read_only_udm.target.resource.type Définissez sur SETTING si le journal indique une modification de paramètre.
target.user.userid event.idm.read_only_udm.target.user.userid Directement mappé à partir du champ target_username ou user1 du journal brut.
timestamp event.timestamp Analysé et converti en objet d'horodatage à partir du champ timestamp ou data du journal à l'aide du filtre date.
type event.idm.read_only_udm.additional.fields Le champ type du journal est ajouté au tableau additional_fields dans l'UDM avec la clé "LogType".
user1 event.idm.read_only_udm.target.user.userid Mappé directement à partir du champ user1 du journal brut.
useragent event.idm.read_only_udm.network.http.user_agent Mappé directement à partir du champ useragent du journal brut.
vmw_cluster event.idm.read_only_udm.target.resource.name Mappé directement à partir du champ vmw_cluster du journal brut.
vmw_datacenter event.idm.read_only_udm.target.resource.name Mappé directement à partir du champ vmw_datacenter du journal brut.
vmw_host event.idm.read_only_udm.target.ip Mappé directement à partir du champ vmw_host du journal brut.
vmw_object_id event.idm.read_only_udm.target.resource.id Mappé directement à partir du champ vmw_object_id du journal brut.
vmw_product event.idm.read_only_udm.target.application Mappé directement à partir du champ vmw_product du journal brut.
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone Mappé directement à partir du champ vmw_vcenter du journal brut.
vmw_vcenter_id event.idm.read_only_udm.target.cloud.availability_zone.id Mappé directement à partir du champ vmw_vcenter_id du journal brut.
vmw_vr_ops_appname event.idm.read_only_udm.target.application Mappé directement à partir du champ vmw_vr_ops_appname du journal brut.
vmw_vr_ops_clustername event.idm.read_only_udm.target.resource.name Mappé directement à partir du champ vmw_vr_ops_clustername du journal brut.
vmw_vr_ops_clusterrole event.idm.read_only_udm.target.resource.type Mappé directement à partir du champ vmw_vr_ops_clusterrole du journal brut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.