Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log VMware ESXi

Supportato in:

Google secops SIEM

Panoramica

Questo parser estrae i campi dai log formattati in formato JSON e syslog VMware ESXi. Normalizza la varietà di formati dei log ESXi in una struttura comune, quindi compila i campi UDM in base ai valori estratti, inclusa la gestione di casi specifici per diversi servizi ESXi come crond, named e sshd utilizzando i file di inclusione.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso con privilegi a VMWare ESX.
Assicurati di avere un host Windows 2012 SP2 o versioni successive o Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Per l'installazione di Windows, esegui il seguente script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Per l'installazione di Linux, esegui lo script seguente: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi alla macchina in cui è installato l'agente Bindplane.

Modifica il file config.yaml come segue:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia Bindplane Agent per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Consenti la regola firewall syslog ESXi

Vai a Networking > Regole firewall.
Trova syslog nella colonna Nome.
Fai clic su Modifica impostazioni.
Aggiorna la porta tcp o udp che hai configurato in Bindplane.
Fai clic su Salva.
Mantieni selezionata la riga syslog.
Seleziona Azioni > Attiva.

Esportare Syslog da VMware ESXi utilizzando vSphere Client

Accedi all'host ESXi utilizzando vSphere Client.
Vai a Gestisci > Sistema > Impostazioni avanzate.
Trova la chiave Syslog.global.logHost nell'elenco.
Seleziona la chiave e fai clic su Modifica opzione.
Inserisci <protocol>://<destination_IP>:<port>
- Sostituisci <protocol> con tcp (se hai configurato Bindplane Agent per l'utilizzo di UDP, digita udp).
- Sostituisci <destination_IP> con l'indirizzo IP dell'agente Bindplane.
- Sostituisci <port> con la porta configurata in precedenza in Bindplane Agent.
Fai clic su Salva.

(Facoltativo) Esportare Syslog da VMware ESXi utilizzando SSH

Connettiti all'host ESXi utilizzando SSH.
Utilizza il comando esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>.
- Sostituisci <protocol> con tcp (se hai configurato Bindplane Agent per l'utilizzo di UDP, digita udp).
- Sostituisci <destination_IP> con l'indirizzo IP dell'agente Bindplane.
- Sostituisci <port> con la porta configurata in precedenza in Bindplane.
Riavvia il servizio syslog inserendo il comando /etc/init.d/syslog restart.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`@fields.alias`	`event.idm.read_only_udm.principal.cloud.project.alias`	Mappato direttamente dal campo `@fields.alias` del log JSON.
`@fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Mappato direttamente dal campo `@fields.company_name` del log JSON.
`@fields.facility`	`event.idm.read_only_udm.principal.resource.type`	Mappato direttamente dal campo `@fields.facility` del log JSON.
`@fields.host`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `@fields.host` del log JSON.
`@fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	Mappato direttamente dal campo `@fields.privatecloud_id` del log JSON.
`@fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	Mappato direttamente dal campo `@fields.privatecloud_name` del log JSON.
`@fields.procid`	`event.idm.read_only_udm.principal.process.pid`	Mappato direttamente dal campo `@fields.procid` del log JSON.
`@fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	Mappato direttamente dal campo `@fields.region_id` del log JSON.
`@fields.severity`	`event.idm.read_only_udm.security_result.severity`	Mappato dal campo `@fields.severity` del log JSON. Se il valore è "info" o simile, viene mappato su "INFORMATIONAL".
`@timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Analizzato e convertito in un oggetto timestamp dal campo `@timestamp` del log utilizzando il filtro `date`.
`adapter`	`event.idm.read_only_udm.target.resource.name`	Mappato direttamente dal campo `adapter` del log non elaborato.
`action`	`event.idm.read_only_udm.security_result.action`	Mappato direttamente dal campo `action` del log non elaborato. Vengono utilizzati valori come "ALLOW" (CONSENTI) e "BLOCK" (BLOCCA).
`action`	`event.idm.read_only_udm.security_result.action_details`	Mappato direttamente dal campo `action` del log non elaborato. Vengono utilizzati valori come "Reindirizza".
`administrative_domain`	`event.idm.read_only_udm.principal.administrative_domain`	Mappato direttamente dal campo `administrative_domain` del log non elaborato.
`agent.hostname`	`event.idm.read_only_udm.intermediary.hostname`	Mappato direttamente dal campo `agent.hostname` del log JSON.
`agent.id`	`event.idm.read_only_udm.intermediary.asset.id`	Mappato direttamente dal campo `agent.id` del log JSON.
`agent.name`	`event.idm.read_only_udm.intermediary.asset.name`	Mappato direttamente dal campo `agent.name` del log JSON.
`agent.type`	`event.idm.read_only_udm.intermediary.asset.type`	Mappato direttamente dal campo `agent.type` del log JSON.
`agent.version`	`event.idm.read_only_udm.intermediary.asset.version`	Mappato direttamente dal campo `agent.version` del log JSON.
`app_name`	`event.idm.read_only_udm.principal.application`	Mappato direttamente dal campo `app_name` del log non elaborato.
`app_protocol`	`event.idm.read_only_udm.network.application_protocol`	Mappato direttamente dal campo `app_protocol` del log non elaborato. Se il valore corrisponde a "http" (senza distinzione tra maiuscole e minuscole), viene mappato a "HTTP".
`application`	`event.idm.read_only_udm.principal.application`	Mappato direttamente dal campo `program` del log JSON.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Mappato direttamente dal campo `cmd` del log non elaborato.
`collection_time`	`event.idm.read_only_udm.metadata.event_timestamp`	I nanosecondi del campo `collection_time` vengono aggiunti ai secondi del campo `collection_time` per creare `event_timestamp`.
`data`	`event.idm.read_only_udm.metadata.description`	Il messaggio di log non elaborato viene analizzato e le parti pertinenti vengono estratte per compilare il campo della descrizione.
`descrip`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `descrip` del log non elaborato.
`dns.answers.data`	`event.idm.read_only_udm.network.dns.answers.data`	Mappato direttamente dal campo `dns.answers.data` del log JSON.
`dns.answers.ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	Mappato direttamente dal campo `dns.answers.ttl` del log JSON.
`dns.answers.type`	`event.idm.read_only_udm.network.dns.answers.type`	Mappato direttamente dal campo `dns.answers.type` del log JSON.
`dns.questions.name`	`event.idm.read_only_udm.network.dns.questions.name`	Mappato direttamente dal campo `dns.questions.name` del log JSON.
`dns.questions.type`	`event.idm.read_only_udm.network.dns.questions.type`	Mappato direttamente dal campo `dns.questions.type` del log JSON.
`dns.response`	`event.idm.read_only_udm.network.dns.response`	Mappato direttamente dal campo `dns.response` del log JSON.
`ecs.version`	`event.idm.read_only_udm.metadata.product_version`	Mappato direttamente dal campo `ecs.version` del log JSON.
`event_message`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `event_message` del log JSON.
`event_metadata`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Il campo `event_metadata` viene analizzato per estrarre il valore `opID`, a cui viene aggiunto il prefisso "opID:" e mappato all'UDM.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Mappato direttamente dal campo `event_type` del log JSON.
`filepath`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente dal campo `filepath` del log non elaborato.
`fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Mappato direttamente dal campo `fields.company_name` del log JSON.
`fields.facility`	`event.idm.read_only_udm.principal.resource.type`	Mappato direttamente dal campo `fields.facility` del log JSON.
`fields.host`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `fields.host` del log JSON.
`fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	Mappato direttamente dal campo `fields.privatecloud_id` del log JSON.
`fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	Mappato direttamente dal campo `fields.privatecloud_name` del log JSON.
`fields.procid`	`event.idm.read_only_udm.principal.process.pid`	Mappato direttamente dal campo `fields.procid` del log JSON.
`fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	Mappato direttamente dal campo `fields.region_id` del log JSON.
`fields.severity`	`event.idm.read_only_udm.security_result.severity`	Mappato dal campo `fields.severity` del log JSON. Se il valore è "info" o simile, viene mappato su "INFORMATIONAL".
`host.architecture`	`event.idm.read_only_udm.principal.asset.architecture`	Mappato direttamente dal campo `host.architecture` del log JSON.
`host.containerized`	`event.idm.read_only_udm.principal.asset.containerized`	Mappato direttamente dal campo `host.containerized` del log JSON.
`host.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `host.hostname` del log JSON.
`host.id`	`event.idm.read_only_udm.principal.asset.id`	Mappato direttamente dal campo `host.id` del log JSON.
`host.ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `host.ip` del log JSON.
`host.mac`	`event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.principal.asset.mac`	Mappato direttamente dal campo `host.mac` del log JSON.
`host.name`	`event.idm.read_only_udm.principal.asset.name`	Mappato direttamente dal campo `host.name` del log JSON.
`host.os.codename`	`event.idm.read_only_udm.principal.asset.os.codename`	Mappato direttamente dal campo `host.os.codename` del log JSON.
`host.os.family`	`event.idm.read_only_udm.principal.asset.os.family`	Mappato direttamente dal campo `host.os.family` del log JSON.
`host.os.kernel`	`event.idm.read_only_udm.principal.asset.os.kernel`	Mappato direttamente dal campo `host.os.kernel` del log JSON.
`host.os.name`	`event.idm.read_only_udm.principal.asset.os.name`	Mappato direttamente dal campo `host.os.name` del log JSON.
`host.os.platform`	`event.idm.read_only_udm.principal.asset.os.platform`	Mappato direttamente dal campo `host.os.platform` del log JSON.
`host.os.version`	`event.idm.read_only_udm.principal.asset.os.version`	Mappato direttamente dal campo `host.os.version` del log JSON.
`iporhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `iporhost` del log non elaborato.
`iporhost`	`event.idm.read_only_udm.principal.ip`	Mappato direttamente dal campo `iporhost` del log non elaborato, se si tratta di un indirizzo IP.
`iporhost1`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `iporhost1` del log non elaborato.
`kv_data1`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Il campo `kv_data1` viene analizzato per estrarre il valore `opID` o `sub`, a cui viene aggiunto rispettivamente il prefisso "opID:" o "sub:" e mappato all'UDM.
`kv_msg`	`event.idm.read_only_udm.additional.fields`	Il campo `kv_msg` viene analizzato come coppie chiave-valore e aggiunto all'array `additional_fields` nell'UDM.
`kv_msg1`	`event.idm.read_only_udm.additional.fields`	Il campo `kv_msg1` viene analizzato come coppie chiave-valore e aggiunto all'array `additional_fields` nell'UDM.
`lbdn`	`event.idm.read_only_udm.target.hostname`	Mappato direttamente dal campo `lbdn` del log non elaborato.
`log.source.address`	`event.idm.read_only_udm.observer.hostname`	Mappato direttamente dal campo `log.source.address` del log JSON, prendendo solo la parte del nome host.
`log_event.original`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `event.original` del log JSON.
`log_level`	`event.idm.read_only_udm.security_result.severity_details`	Mappato direttamente dal campo `log_level` del log JSON.
`logstash.collect.host`	`event.idm.read_only_udm.observer.hostname`	Mappato direttamente dal campo `logstash.collect.host` del log JSON.
`logstash.collect.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analizzato e convertito in un oggetto timestamp dal campo `logstash.collect.timestamp` del log utilizzando il filtro `date`.
`logstash.ingest.host`	`event.idm.read_only_udm.intermediary.hostname`	Mappato direttamente dal campo `logstash.ingest.host` del log JSON.
`logstash.ingest.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analizzato e convertito in un oggetto timestamp dal campo `logstash.ingest.timestamp` del log utilizzando il filtro `date`.
`logstash.process.host`	`event.idm.read_only_udm.intermediary.hostname`	Mappato direttamente dal campo `logstash.process.host` del log JSON.
`logstash.process.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analizzato e convertito in un oggetto timestamp dal campo `logstash.process.timestamp` del log utilizzando il filtro `date`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mappato direttamente dal campo `log_type` del log non elaborato.
`message`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `message` del log JSON.
`message_to_process`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `message_to_process` del log non elaborato.
`metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Impostato inizialmente su "GENERIC_EVENT", poi potenzialmente sovrascritto in base al valore di `service` analizzato o ad altri contenuti del log. Possono essere valori come `PROCESS_LAUNCH`, `NETWORK_CONNECTION`, `USER_LOGIN` e così via.
`metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mappato direttamente dal campo `process_id` o `prod_event_type` del log non elaborato.
`metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mappato direttamente dal campo `event_id` del log non elaborato.
`metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Imposta su "ESX".
`metadata.product_version`	`event.idm.read_only_udm.metadata.product_version`	Mappato direttamente dal campo `version` del log JSON.
`metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Imposta il valore su "VMWARE".
`msg`	`event.idm.read_only_udm.metadata.description`	Mappato direttamente dal campo `msg` del log non elaborato.
`network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	Imposta "DNS" se `service` è "named", "HTTPS" se la porta è 443 o "HTTP" se `app_protocol` corrisponde a "http".
`network.direction`	`event.idm.read_only_udm.network.direction`	Determinato dalle parole chiave nel log non elaborato, ad esempio "IN", "OUT", "->". Può essere `INBOUND` o `OUTBOUND`.
`network.http.method`	`event.idm.read_only_udm.network.http.method`	Mappato direttamente dal campo `method` del log non elaborato.
`network.http.parsed_user_agent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	Analizzato dal campo `useragent` utilizzando il filtro `convert`.
`network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	Mappato direttamente dal campo `prin_url` del log non elaborato.
`network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	Mappato direttamente dal campo `status_code` del log non elaborato e convertito in un numero intero.
`network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mappato direttamente dal campo `useragent` del log non elaborato.
`network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Determinato dalle parole chiave nel log non elaborato, ad esempio "TCP", "UDP".
`network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Mappato direttamente dal campo `rec_bytes` del log non elaborato e convertito in un numero intero senza segno.
`network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Estratto dal campo `message_to_process` del log non elaborato.
`network.session_id`	`event.idm.read_only_udm.network.session_id`	Mappato direttamente dal campo `session` del log non elaborato.
`pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mappato direttamente dal campo `pid` del log non elaborato.
`pid`	`event.idm.read_only_udm.principal.process.pid`	Mappato direttamente dal campo `pid` del log JSON.
`pid`	`event.idm.read_only_udm.target.process.pid`	Mappato direttamente dal campo `pid` del log non elaborato.
`port`	`event.idm.read_only_udm.target.port`	Mappato direttamente dal campo `port` del log JSON.
`principal.application`	`event.idm.read_only_udm.principal.application`	Mappato direttamente dal campo `app_name` o `service` del log non elaborato.
`principal.asset.hostname`	`event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `principal_hostname` o `iporhost` del log non elaborato.
`principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Mappato direttamente dal campo `syslog_ip` del log non elaborato.
`principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Mappato direttamente dal campo `principal_hostname` o `iporhost` del log non elaborato.
`principal.ip`	`event.idm.read_only_udm.principal.ip`	Mappato direttamente dal campo `iporhost` o `syslog_ip` del log non elaborato.
`principal.port`	`event.idm.read_only_udm.principal.port`	Mappato direttamente dal campo `srcport` del log non elaborato.
`principal.process.command_line`	`event.idm.read_only_udm.principal.process.command_line`	Mappato direttamente dal campo `cmd` del log non elaborato.
`principal.process.parent_process.pid`	`event.idm.read_only_udm.principal.process.parent_process.pid`	Mappato direttamente dal campo `parent_pid` del log non elaborato.
`principal.process.pid`	`event.idm.read_only_udm.principal.process.pid`	Mappato direttamente dal campo `process_id` del log non elaborato.
`principal.process.product_specific_process_id`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Estratto dal campo `message_to_process` del log non elaborato, di solito con il prefisso "opID:".
`principal.url`	`event.idm.read_only_udm.principal.url`	Mappato direttamente dal campo `prin_url` del log non elaborato.
`principal.user.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Mappato direttamente dal campo `fields.company_name` del log JSON.
`principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Mappato direttamente dal campo `USER` del log non elaborato.
`priority`	`event.idm.read_only_udm.metadata.product_event_type`	Mappato direttamente dal campo `priority` del log non elaborato.
`program`	`event.idm.read_only_udm.principal.application`	Mappato direttamente dal campo `program` del log JSON.
`qname`	`event.idm.read_only_udm.network.dns.questions.name`	Mappato direttamente dal campo `qname` del log non elaborato.
`response_data`	`event.idm.read_only_udm.network.dns.answers.data`	Mappato direttamente dal campo `response_data` del log non elaborato.
`response_rtype`	`event.idm.read_only_udm.network.dns.answers.type`	Mappato direttamente dal campo `response_rtype` del log non elaborato. Viene estratto il tipo di record DNS numerico.
`response_ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	Mappato direttamente dal campo `response_ttl` del log non elaborato.
`rtype`	`event.idm.read_only_udm.network.dns.questions.type`	Mappato direttamente dal campo `rtype` del log non elaborato. Viene estratto il tipo di record DNS numerico.
`security_result.action`	`event.idm.read_only_udm.security_result.action`	Determinato dalle parole chiave o dallo stato nel log non elaborato. Può essere `ALLOW` o `BLOCK`.
`security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	Estratto dal messaggio di log non elaborato, fornisce maggiori informazioni contestuali sull'azione intrapresa.
`security_result.category`	`event.idm.read_only_udm.security_result.category`	Imposta su `POLICY_VIOLATION` se il log indica una corrispondenza con una regola firewall.
`security_result.description`	`event.idm.read_only_udm.security_result.description`	Estratto dal messaggio di log non elaborato, fornisce maggiori informazioni sul risultato di sicurezza.
`security_result.rule_id`	`event.idm.read_only_udm.security_result.rule_id`	Mappato direttamente dal campo `rule_id` del log non elaborato.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Determinato dalle parole chiave nel log non elaborato, ad esempio "info", "warning", "error". Può essere `INFORMATIONAL`, `LOW`, `MEDIUM` o `HIGH`.
`security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Mappato direttamente dal campo `severity` o `log.syslog.severity.name` del log non elaborato.
`security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Estratto dal messaggio di log non elaborato, fornisce un riepilogo conciso del risultato di sicurezza.
`service`	`event.idm.read_only_udm.principal.application`	Mappato direttamente dal campo `service` del log non elaborato.
`source`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappato direttamente dal campo `source` del log non elaborato.
`src.file.full_path`	`event.idm.read_only_udm.src.file.full_path`	Estratto dal messaggio di log non elaborato.
`src.hostname`	`event.idm.read_only_udm.src.hostname`	Mappato direttamente dal campo `src.hostname` del log non elaborato.
`src_ip`	`event.idm.read_only_udm.principal.ip`	Mappato direttamente dal campo `src_ip` del log non elaborato.
`src_mac_address`	`event.idm.read_only_udm.principal.mac`	Mappato direttamente dal campo `src_mac_address` del log non elaborato.
`srcport`	`event.idm.read_only_udm.principal.port`	Mappato direttamente dal campo `srcport` del log non elaborato.
`srcip`	`event.idm.read_only_udm.principal.ip`	Mappato direttamente dal campo `srcip` del log non elaborato.
`subtype`	`event.idm.read_only_udm.metadata.event_type`	Mappato direttamente dal campo `subtype` del log non elaborato.
`tags`	`event.idm.read_only_udm.metadata.tags`	Mappato direttamente dal campo `tags` del log JSON.
`target.application`	`event.idm.read_only_udm.target.application`	Mappato direttamente dal campo `target_application` del log non elaborato.
`target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	Estratto dal messaggio di log non elaborato.
`target.hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Mappato direttamente dal campo `target_hostname` o `iporhost` del log non elaborato.
`target.ip`	`event.idm.read_only_udm.target.ip`	Mappato direttamente dal campo `target_ip` del log non elaborato.
`target.mac`	`event.idm.read_only_udm.target.mac`	Mappato direttamente dal campo `target_mac_address` del log non elaborato.
`target.port`	`event.idm.read_only_udm.target.port`	Mappato direttamente dal campo `target_port` del log non elaborato.
`target.process.command_line`	`event.idm.read_only_udm.target.process.command_line`	Mappato direttamente dal campo `cmd` del log non elaborato.
`target.process.parent_process.pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mappato direttamente dal campo `parent_pid` del log non elaborato.
`target.process.pid`	`event.idm.read_only_udm.target.process.pid`	Mappato direttamente dal campo `pid` del log non elaborato.
`target.process.product_specific_process_id`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Estratto dal campo `message_to_process` del log non elaborato, di solito con il prefisso "opID:".
`target.resource.name`	`event.idm.read_only_udm.target.resource.name`	Mappato direttamente dal campo `adapter` del log non elaborato.
`target.resource.resource_type`	`event.idm.read_only_udm.target.resource.resource_type`	Imposta su `VIRTUAL_MACHINE` se il log indica un'operazione VM.
`target.resource.type`	`event.idm.read_only_udm.target.resource.type`	Imposta su `SETTING` se il log indica una modifica dell'impostazione.
`target.user.userid`	`event.idm.read_only_udm.target.user.userid`	Mappato direttamente dal campo `target_username` o `user1` del log non elaborato.
`timestamp`	`event.timestamp`	Analizzato e convertito in un oggetto timestamp dal campo `timestamp` o `data` del log utilizzando il filtro `date`.
`type`	`event.idm.read_only_udm.additional.fields`	Il campo `type` del log viene aggiunto all'array `additional_fields` nell'UDM con la chiave "LogType".
`user1`	`event.idm.read_only_udm.target.user.userid`	Mappato direttamente dal campo `user1` del log non elaborato.
`useragent`	`event.idm.read_only_udm.network.http.user_agent`	Mappato direttamente dal campo `useragent` del log non elaborato.
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	Mappato direttamente dal campo `vmw_cluster` del log non elaborato.
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.name`	Mappato direttamente dal campo `vmw_datacenter` del log non elaborato.
`vmw_host`	`event.idm.read_only_udm.target.ip`	Mappato direttamente dal campo `vmw_host` del log non elaborato.
`vmw_object_id`	`event.idm.read_only_udm.target.resource.id`	Mappato direttamente dal campo `vmw_object_id` del log non elaborato.
`vmw_product`	`event.idm.read_only_udm.target.application`	Mappato direttamente dal campo `vmw_product` del log non elaborato.
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	Mappato direttamente dal campo `vmw_vcenter` del log non elaborato.
`vmw_vcenter_id`	`event.idm.read_only_udm.target.cloud.availability_zone.id`	Mappato direttamente dal campo `vmw_vcenter_id` del log non elaborato.
`vmw_vr_ops_appname`	`event.idm.read_only_udm.target.application`	Mappato direttamente dal campo `vmw_vr_ops_appname` del log non elaborato.
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.target.resource.name`	Mappato direttamente dal campo `vmw_vr_ops_clustername` del log non elaborato.
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.target.resource.type`	Mappato direttamente dal campo `vmw_vr_ops_clusterrole` del log non elaborato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.