このページは Cloud Translation API によって翻訳されました。

VMware ESXi ログを収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、VMware ESXi syslog と JSON 形式のログからフィールドを抽出します。さまざまな ESXi ログ形式を共通の構造に正規化し、抽出された値に基づいて UDM フィールドに入力します。これには、インクルードファイルを使用して crond、named、sshd などのさまざまな ESXi サービスに固有のケースを処理することも含まれます。

始める前に

Google SecOps インスタンスがあることを確認します。
VMWare ESX への特権アクセス権があることを確認します。
Windows 2012 SP2 以降または systemd を使用する Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM Settings] > [Collection Agents] に移動します。
Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
Linux へのインストールの場合は、次のスクリプトを実行します。sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

Bindplane エージェントがインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

次のコマンドを使用して Bindplane Agent を再起動して、変更を適用します。 sudo systemctl bindplane restart

syslog ESXi ファイアウォールルールを許可する

[ネットワーキング] > [ファイアウォールルール] に移動します。
[名前列] で [syslog] を見つけます。
[設定を編集] をクリックします。
Bindplane で構成した tcp ポートまたは udp ポートを更新します。
[保存] をクリックします。
syslog 行を選択したままにします。
[アクション] > [有効にする] を選択します。

vSphere Client を使用して VMware ESXi から Syslog をエクスポートする

vSphere Client を使用して ESXi ホストにログインします。
[Manage] > [System] > [Advanced Settings] に移動します。
リストで Syslog.global.logHost キーを見つけます。
キーを選択して、[編集オプション] をクリックします。
<protocol>://<destination_IP>:<port> を入力する
- <protocol> を tcp に置き換えます（UDP を使用するように Bindplane Agent を構成した場合は、udp を入力します）。
- <destination_IP> は、Bindplane Agent の IP アドレスに置き換えます。
- <port> は、Bindplane Agent で以前に設定したポートに置き換えます。
[保存] をクリックします。

省略可: SSH を使用して VMware ESXi から Syslog をエクスポートする

SSH を使用して ESXi ホストに接続します。
esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port> コマンドを使用します。
- <protocol> を tcp に置き換えます（UDP を使用するように Bindplane Agent を構成した場合は、udp を入力します）。
- <destination_IP> は、Bindplane Agent の IP アドレスに置き換えます。
- <port> は、Bindplane で以前に設定したポートに置き換えます。
コマンド /etc/init.d/syslog restart を入力して、syslog サービスを再起動します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`@fields.alias`	`event.idm.read_only_udm.principal.cloud.project.alias`	JSON ログの `@fields.alias` フィールドから直接マッピングされます。
`@fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	JSON ログの `@fields.company_name` フィールドから直接マッピングされます。
`@fields.facility`	`event.idm.read_only_udm.principal.resource.type`	JSON ログの `@fields.facility` フィールドから直接マッピングされます。
`@fields.host`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	JSON ログの `@fields.host` フィールドから直接マッピングされます。
`@fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	JSON ログの `@fields.privatecloud_id` フィールドから直接マッピングされます。
`@fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	JSON ログの `@fields.privatecloud_name` フィールドから直接マッピングされます。
`@fields.procid`	`event.idm.read_only_udm.principal.process.pid`	JSON ログの `@fields.procid` フィールドから直接マッピングされます。
`@fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	JSON ログの `@fields.region_id` フィールドから直接マッピングされます。
`@fields.severity`	`event.idm.read_only_udm.security_result.severity`	JSON ログの `@fields.severity` フィールドからマッピングされます。値が「info」などの場合、「INFORMATIONAL」にマッピングされます。
`@timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	`date` フィルタを使用して、ログの `@timestamp` フィールドから解析され、タイムスタンプオブジェクトに変換されます。
`adapter`	`event.idm.read_only_udm.target.resource.name`	未加工ログの `adapter` フィールドから直接マッピングされます。
`action`	`event.idm.read_only_udm.security_result.action`	未加工ログの `action` フィールドから直接マッピングされます。「ALLOW」や「BLOCK」などの値が使用されます。
`action`	`event.idm.read_only_udm.security_result.action_details`	未加工ログの `action` フィールドから直接マッピングされます。「Redirect」などの値が使用されます。
`administrative_domain`	`event.idm.read_only_udm.principal.administrative_domain`	未加工ログの `administrative_domain` フィールドから直接マッピングされます。
`agent.hostname`	`event.idm.read_only_udm.intermediary.hostname`	JSON ログの `agent.hostname` フィールドから直接マッピングされます。
`agent.id`	`event.idm.read_only_udm.intermediary.asset.id`	JSON ログの `agent.id` フィールドから直接マッピングされます。
`agent.name`	`event.idm.read_only_udm.intermediary.asset.name`	JSON ログの `agent.name` フィールドから直接マッピングされます。
`agent.type`	`event.idm.read_only_udm.intermediary.asset.type`	JSON ログの `agent.type` フィールドから直接マッピングされます。
`agent.version`	`event.idm.read_only_udm.intermediary.asset.version`	JSON ログの `agent.version` フィールドから直接マッピングされます。
`app_name`	`event.idm.read_only_udm.principal.application`	未加工ログの `app_name` フィールドから直接マッピングされます。
`app_protocol`	`event.idm.read_only_udm.network.application_protocol`	未加工ログの `app_protocol` フィールドから直接マッピングされます。値が「http」と一致する場合（大文字と小文字を区別しない）、値は「HTTP」にマッピングされます。
`application`	`event.idm.read_only_udm.principal.application`	JSON ログの `program` フィールドから直接マッピングされます。
`cmd`	`event.idm.read_only_udm.target.process.command_line`	未加工ログの `cmd` フィールドから直接マッピングされます。
`collection_time`	`event.idm.read_only_udm.metadata.event_timestamp`	`collection_time` フィールドのナノ秒が `collection_time` フィールドの秒に追加され、`event_timestamp` が作成されます。
`data`	`event.idm.read_only_udm.metadata.description`	未加工のログメッセージが解析され、関連する部分が抽出されて説明フィールドに入力されます。
`descrip`	`event.idm.read_only_udm.metadata.description`	未加工ログの `descrip` フィールドから直接マッピングされます。
`dns.answers.data`	`event.idm.read_only_udm.network.dns.answers.data`	JSON ログの `dns.answers.data` フィールドから直接マッピングされます。
`dns.answers.ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	JSON ログの `dns.answers.ttl` フィールドから直接マッピングされます。
`dns.answers.type`	`event.idm.read_only_udm.network.dns.answers.type`	JSON ログの `dns.answers.type` フィールドから直接マッピングされます。
`dns.questions.name`	`event.idm.read_only_udm.network.dns.questions.name`	JSON ログの `dns.questions.name` フィールドから直接マッピングされます。
`dns.questions.type`	`event.idm.read_only_udm.network.dns.questions.type`	JSON ログの `dns.questions.type` フィールドから直接マッピングされます。
`dns.response`	`event.idm.read_only_udm.network.dns.response`	JSON ログの `dns.response` フィールドから直接マッピングされます。
`ecs.version`	`event.idm.read_only_udm.metadata.product_version`	JSON ログの `ecs.version` フィールドから直接マッピングされます。
`event_message`	`event.idm.read_only_udm.metadata.description`	JSON ログの `event_message` フィールドから直接マッピングされます。
`event_metadata`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	`event_metadata` フィールドが解析され、`opID` 値が抽出され、「opID:」接頭辞が付けられ、UDM にマッピングされます。
`event_type`	`event.idm.read_only_udm.metadata.event_type`	JSON ログの `event_type` フィールドから直接マッピングされます。
`filepath`	`event.idm.read_only_udm.target.file.full_path`	未加工ログの `filepath` フィールドから直接マッピングされます。
`fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	JSON ログの `fields.company_name` フィールドから直接マッピングされます。
`fields.facility`	`event.idm.read_only_udm.principal.resource.type`	JSON ログの `fields.facility` フィールドから直接マッピングされます。
`fields.host`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	JSON ログの `fields.host` フィールドから直接マッピングされます。
`fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	JSON ログの `fields.privatecloud_id` フィールドから直接マッピングされます。
`fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	JSON ログの `fields.privatecloud_name` フィールドから直接マッピングされます。
`fields.procid`	`event.idm.read_only_udm.principal.process.pid`	JSON ログの `fields.procid` フィールドから直接マッピングされます。
`fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	JSON ログの `fields.region_id` フィールドから直接マッピングされます。
`fields.severity`	`event.idm.read_only_udm.security_result.severity`	JSON ログの `fields.severity` フィールドからマッピングされます。値が「info」などの場合、「INFORMATIONAL」にマッピングされます。
`host.architecture`	`event.idm.read_only_udm.principal.asset.architecture`	JSON ログの `host.architecture` フィールドから直接マッピングされます。
`host.containerized`	`event.idm.read_only_udm.principal.asset.containerized`	JSON ログの `host.containerized` フィールドから直接マッピングされます。
`host.hostname`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	JSON ログの `host.hostname` フィールドから直接マッピングされます。
`host.id`	`event.idm.read_only_udm.principal.asset.id`	JSON ログの `host.id` フィールドから直接マッピングされます。
`host.ip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	JSON ログの `host.ip` フィールドから直接マッピングされます。
`host.mac`	`event.idm.read_only_udm.principal.mac`、`event.idm.read_only_udm.principal.asset.mac`	JSON ログの `host.mac` フィールドから直接マッピングされます。
`host.name`	`event.idm.read_only_udm.principal.asset.name`	JSON ログの `host.name` フィールドから直接マッピングされます。
`host.os.codename`	`event.idm.read_only_udm.principal.asset.os.codename`	JSON ログの `host.os.codename` フィールドから直接マッピングされます。
`host.os.family`	`event.idm.read_only_udm.principal.asset.os.family`	JSON ログの `host.os.family` フィールドから直接マッピングされます。
`host.os.kernel`	`event.idm.read_only_udm.principal.asset.os.kernel`	JSON ログの `host.os.kernel` フィールドから直接マッピングされます。
`host.os.name`	`event.idm.read_only_udm.principal.asset.os.name`	JSON ログの `host.os.name` フィールドから直接マッピングされます。
`host.os.platform`	`event.idm.read_only_udm.principal.asset.os.platform`	JSON ログの `host.os.platform` フィールドから直接マッピングされます。
`host.os.version`	`event.idm.read_only_udm.principal.asset.os.version`	JSON ログの `host.os.version` フィールドから直接マッピングされます。
`iporhost`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	未加工ログの `iporhost` フィールドから直接マッピングされます。
`iporhost`	`event.idm.read_only_udm.principal.ip`	IP アドレスの場合、未加工ログの `iporhost` フィールドから直接マッピングされます。
`iporhost1`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	未加工ログの `iporhost1` フィールドから直接マッピングされます。
`kv_data1`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	`kv_data1` フィールドが解析され、`opID` 値または `sub` 値が抽出され、それぞれに「opID:」または「sub:」の接頭辞が付けられ、UDM にマッピングされます。
`kv_msg`	`event.idm.read_only_udm.additional.fields`	`kv_msg` フィールドは Key-Value ペアとして解析され、UDM の `additional_fields` 配列に追加されます。
`kv_msg1`	`event.idm.read_only_udm.additional.fields`	`kv_msg1` フィールドは Key-Value ペアとして解析され、UDM の `additional_fields` 配列に追加されます。
`lbdn`	`event.idm.read_only_udm.target.hostname`	未加工ログの `lbdn` フィールドから直接マッピングされます。
`log.source.address`	`event.idm.read_only_udm.observer.hostname`	JSON ログの `log.source.address` フィールドから直接マッピングされ、ホスト名部分のみが取得されます。
`log_event.original`	`event.idm.read_only_udm.metadata.description`	JSON ログの `event.original` フィールドから直接マッピングされます。
`log_level`	`event.idm.read_only_udm.security_result.severity_details`	JSON ログの `log_level` フィールドから直接マッピングされます。
`logstash.collect.host`	`event.idm.read_only_udm.observer.hostname`	JSON ログの `logstash.collect.host` フィールドから直接マッピングされます。
`logstash.collect.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	`date` フィルタを使用して、ログの `logstash.collect.timestamp` フィールドから解析され、タイムスタンプオブジェクトに変換されます。
`logstash.ingest.host`	`event.idm.read_only_udm.intermediary.hostname`	JSON ログの `logstash.ingest.host` フィールドから直接マッピングされます。
`logstash.ingest.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	`date` フィルタを使用して、ログの `logstash.ingest.timestamp` フィールドから解析され、タイムスタンプオブジェクトに変換されます。
`logstash.process.host`	`event.idm.read_only_udm.intermediary.hostname`	JSON ログの `logstash.process.host` フィールドから直接マッピングされます。
`logstash.process.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	`date` フィルタを使用して、ログの `logstash.process.timestamp` フィールドから解析され、タイムスタンプオブジェクトに変換されます。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	未加工ログの `log_type` フィールドから直接マッピングされます。
`message`	`event.idm.read_only_udm.metadata.description`	JSON ログの `message` フィールドから直接マッピングされます。
`message_to_process`	`event.idm.read_only_udm.metadata.description`	未加工ログの `message_to_process` フィールドから直接マッピングされます。
`metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	最初は「GENERIC_EVENT」に設定されますが、解析された `service` または他のログコンテンツに基づいて上書きされる可能性があります。`PROCESS_LAUNCH`、`NETWORK_CONNECTION`、`USER_LOGIN` などの値になります。
`metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	未加工ログの `process_id` フィールドまたは `prod_event_type` フィールドから直接マッピングされます。
`metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	未加工ログの `event_id` フィールドから直接マッピングされます。
`metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	「ESX」に設定します。
`metadata.product_version`	`event.idm.read_only_udm.metadata.product_version`	JSON ログの `version` フィールドから直接マッピングされます。
`metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	「VMWARE」に設定します。
`msg`	`event.idm.read_only_udm.metadata.description`	未加工ログの `msg` フィールドから直接マッピングされます。
`network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	`service` が「named」の場合は「DNS」、ポートが 443 の場合は「HTTPS」、`app_protocol` が「http」と一致する場合は「HTTP」に設定されます。
`network.direction`	`event.idm.read_only_udm.network.direction`	未加工ログ内のキーワード（「IN」、「OUT」、「->」など）から決定されます。`INBOUND` または `OUTBOUND` になります。
`network.http.method`	`event.idm.read_only_udm.network.http.method`	未加工ログの `method` フィールドから直接マッピングされます。
`network.http.parsed_user_agent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	`convert` フィルタを使用して `useragent` フィールドから解析されます。
`network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	未加工ログの `prin_url` フィールドから直接マッピングされます。
`network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	未加工ログの `status_code` フィールドから直接マッピングされ、整数に変換されます。
`network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	未加工ログの `useragent` フィールドから直接マッピングされます。
`network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	未加工ログ内のキーワード（「TCP」、「UDP」など）から決定されます。
`network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	未加工ログの `rec_bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	未加工ログの `message_to_process` フィールドから抽出されます。
`network.session_id`	`event.idm.read_only_udm.network.session_id`	未加工ログの `session` フィールドから直接マッピングされます。
`pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	未加工ログの `pid` フィールドから直接マッピングされます。
`pid`	`event.idm.read_only_udm.principal.process.pid`	JSON ログの `pid` フィールドから直接マッピングされます。
`pid`	`event.idm.read_only_udm.target.process.pid`	未加工ログの `pid` フィールドから直接マッピングされます。
`port`	`event.idm.read_only_udm.target.port`	JSON ログの `port` フィールドから直接マッピングされます。
`principal.application`	`event.idm.read_only_udm.principal.application`	未加工ログの `app_name` フィールドまたは `service` フィールドから直接マッピングされます。
`principal.asset.hostname`	`event.idm.read_only_udm.principal.asset.hostname`	未加工ログの `principal_hostname` フィールドまたは `iporhost` フィールドから直接マッピングされます。
`principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	未加工ログの `syslog_ip` フィールドから直接マッピングされます。
`principal.hostname`	`event.idm.read_only_udm.principal.hostname`	未加工ログの `principal_hostname` フィールドまたは `iporhost` フィールドから直接マッピングされます。
`principal.ip`	`event.idm.read_only_udm.principal.ip`	未加工ログの `iporhost` フィールドまたは `syslog_ip` フィールドから直接マッピングされます。
`principal.port`	`event.idm.read_only_udm.principal.port`	未加工ログの `srcport` フィールドから直接マッピングされます。
`principal.process.command_line`	`event.idm.read_only_udm.principal.process.command_line`	未加工ログの `cmd` フィールドから直接マッピングされます。
`principal.process.parent_process.pid`	`event.idm.read_only_udm.principal.process.parent_process.pid`	未加工ログの `parent_pid` フィールドから直接マッピングされます。
`principal.process.pid`	`event.idm.read_only_udm.principal.process.pid`	未加工ログの `process_id` フィールドから直接マッピングされます。
`principal.process.product_specific_process_id`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	元のログの `message_to_process` フィールドから抽出されます。通常は「opID:」の接頭辞が付いています。
`principal.url`	`event.idm.read_only_udm.principal.url`	未加工ログの `prin_url` フィールドから直接マッピングされます。
`principal.user.company_name`	`event.idm.read_only_udm.principal.user.company_name`	JSON ログの `fields.company_name` フィールドから直接マッピングされます。
`principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	未加工ログの `USER` フィールドから直接マッピングされます。
`priority`	`event.idm.read_only_udm.metadata.product_event_type`	未加工ログの `priority` フィールドから直接マッピングされます。
`program`	`event.idm.read_only_udm.principal.application`	JSON ログの `program` フィールドから直接マッピングされます。
`qname`	`event.idm.read_only_udm.network.dns.questions.name`	未加工ログの `qname` フィールドから直接マッピングされます。
`response_data`	`event.idm.read_only_udm.network.dns.answers.data`	未加工ログの `response_data` フィールドから直接マッピングされます。
`response_rtype`	`event.idm.read_only_udm.network.dns.answers.type`	未加工ログの `response_rtype` フィールドから直接マッピングされます。数値の DNS レコードタイプが抽出されます。
`response_ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	未加工ログの `response_ttl` フィールドから直接マッピングされます。
`rtype`	`event.idm.read_only_udm.network.dns.questions.type`	未加工ログの `rtype` フィールドから直接マッピングされます。数値の DNS レコードタイプが抽出されます。
`security_result.action`	`event.idm.read_only_udm.security_result.action`	未加工ログ内のキーワードまたはステータスから決定されます。`ALLOW` または `BLOCK` のいずれかです。
`security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	未加工ログのメッセージから抽出され、実行されたアクションに関するコンテキストが提供されます。
`security_result.category`	`event.idm.read_only_udm.security_result.category`	ログがファイアウォールルールの一致を示している場合は `POLICY_VIOLATION` に設定します。
`security_result.description`	`event.idm.read_only_udm.security_result.description`	未加工ログのメッセージから抽出され、セキュリティ結果に関する詳細なコンテキストを提供します。
`security_result.rule_id`	`event.idm.read_only_udm.security_result.rule_id`	未加工ログの `rule_id` フィールドから直接マッピングされます。
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	未加工ログ内のキーワード（「info」、「warning」、「error」など）から決定されます。`INFORMATIONAL`、`LOW`、`MEDIUM`、`HIGH` のいずれかになります。
`security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	未加工ログの `severity` フィールドまたは `log.syslog.severity.name` フィールドから直接マッピングされます。
`security_result.summary`	`event.idm.read_only_udm.security_result.summary`	未加工ログのメッセージから抽出され、セキュリティ結果の簡潔な概要を提供します。
`service`	`event.idm.read_only_udm.principal.application`	未加工ログの `service` フィールドから直接マッピングされます。
`source`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	未加工ログの `source` フィールドから直接マッピングされます。
`src.file.full_path`	`event.idm.read_only_udm.src.file.full_path`	未加工ログのメッセージから抽出されます。
`src.hostname`	`event.idm.read_only_udm.src.hostname`	未加工ログの `src.hostname` フィールドから直接マッピングされます。
`src_ip`	`event.idm.read_only_udm.principal.ip`	未加工ログの `src_ip` フィールドから直接マッピングされます。
`src_mac_address`	`event.idm.read_only_udm.principal.mac`	未加工ログの `src_mac_address` フィールドから直接マッピングされます。
`srcport`	`event.idm.read_only_udm.principal.port`	未加工ログの `srcport` フィールドから直接マッピングされます。
`srcip`	`event.idm.read_only_udm.principal.ip`	未加工ログの `srcip` フィールドから直接マッピングされます。
`subtype`	`event.idm.read_only_udm.metadata.event_type`	未加工ログの `subtype` フィールドから直接マッピングされます。
`tags`	`event.idm.read_only_udm.metadata.tags`	JSON ログの `tags` フィールドから直接マッピングされます。
`target.application`	`event.idm.read_only_udm.target.application`	未加工ログの `target_application` フィールドから直接マッピングされます。
`target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	未加工ログのメッセージから抽出されます。
`target.hostname`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`	未加工ログの `target_hostname` フィールドまたは `iporhost` フィールドから直接マッピングされます。
`target.ip`	`event.idm.read_only_udm.target.ip`	未加工ログの `target_ip` フィールドから直接マッピングされます。
`target.mac`	`event.idm.read_only_udm.target.mac`	未加工ログの `target_mac_address` フィールドから直接マッピングされます。
`target.port`	`event.idm.read_only_udm.target.port`	未加工ログの `target_port` フィールドから直接マッピングされます。
`target.process.command_line`	`event.idm.read_only_udm.target.process.command_line`	未加工ログの `cmd` フィールドから直接マッピングされます。
`target.process.parent_process.pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	未加工ログの `parent_pid` フィールドから直接マッピングされます。
`target.process.pid`	`event.idm.read_only_udm.target.process.pid`	未加工ログの `pid` フィールドから直接マッピングされます。
`target.process.product_specific_process_id`	`event.idm.read_only_udm.target.process.product_specific_process_id`	元のログの `message_to_process` フィールドから抽出されます。通常は「opID:」の接頭辞が付いています。
`target.resource.name`	`event.idm.read_only_udm.target.resource.name`	未加工ログの `adapter` フィールドから直接マッピングされます。
`target.resource.resource_type`	`event.idm.read_only_udm.target.resource.resource_type`	ログが VM オペレーションを示している場合は `VIRTUAL_MACHINE` に設定します。
`target.resource.type`	`event.idm.read_only_udm.target.resource.type`	ログが設定の変更を示している場合は `SETTING` に設定します。
`target.user.userid`	`event.idm.read_only_udm.target.user.userid`	未加工ログの `target_username` フィールドまたは `user1` フィールドから直接マッピングされます。
`timestamp`	`event.timestamp`	`date` フィルタを使用して、ログの `timestamp` フィールドまたは `data` フィールドから解析され、タイムスタンプオブジェクトに変換されます。
`type`	`event.idm.read_only_udm.additional.fields`	ログの `type` フィールドは、UDM の `additional_fields` 配列にキー「LogType」で追加されます。
`user1`	`event.idm.read_only_udm.target.user.userid`	未加工ログの `user1` フィールドから直接マッピングされます。
`useragent`	`event.idm.read_only_udm.network.http.user_agent`	未加工ログの `useragent` フィールドから直接マッピングされます。
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	未加工ログの `vmw_cluster` フィールドから直接マッピングされます。
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.name`	未加工ログの `vmw_datacenter` フィールドから直接マッピングされます。
`vmw_host`	`event.idm.read_only_udm.target.ip`	未加工ログの `vmw_host` フィールドから直接マッピングされます。
`vmw_object_id`	`event.idm.read_only_udm.target.resource.id`	未加工ログの `vmw_object_id` フィールドから直接マッピングされます。
`vmw_product`	`event.idm.read_only_udm.target.application`	未加工ログの `vmw_product` フィールドから直接マッピングされます。
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	未加工ログの `vmw_vcenter` フィールドから直接マッピングされます。
`vmw_vcenter_id`	`event.idm.read_only_udm.target.cloud.availability_zone.id`	未加工ログの `vmw_vcenter_id` フィールドから直接マッピングされます。
`vmw_vr_ops_appname`	`event.idm.read_only_udm.target.application`	未加工ログの `vmw_vr_ops_appname` フィールドから直接マッピングされます。
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.target.resource.name`	未加工ログの `vmw_vr_ops_clustername` フィールドから直接マッピングされます。
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.target.resource.type`	未加工ログの `vmw_vr_ops_clusterrole` フィールドから直接マッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。