Recolha registos do VMware ESXi

Compatível com:

Vista geral

Este analisador extrai campos do syslog do VMware ESXi e de registos formatados em JSON. Normaliza a variedade de formatos de registo do ESXi numa estrutura comum e, em seguida, preenche os campos da UDM com base nos valores extraídos, incluindo o processamento de casos específicos para diferentes serviços do ESXi, como crond, named e sshd, através de ficheiros de inclusão.

Antes de começar

  • Certifique-se de que tem uma instância do Google SecOps.
  • Certifique-se de que tem acesso privilegiado ao VMWare ESX.
  • Certifique-se de que tem um anfitrião Windows 2012 SP2 ou posterior, ou Linux com systemd.
  • Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

  1. Para a instalação do Windows, execute o seguinte script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Para a instalação do Linux, execute o seguinte script: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda à máquina onde o agente Bindplane está instalado.

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reinicie o agente do Bindplane para aplicar as alterações através do seguinte comando: sudo systemctl bindplane restart

Permita a regra de firewall do ESXi syslog

  1. Aceda a Redes > Regras da firewall.
  2. Encontre syslog na coluna Nome.
  3. Clique em Editar definições.
  4. Atualize a porta tcp ou udp que configurou no Bindplane.
  5. Clique em Guardar.
  6. Mantenha a linha syslog selecionada.
  7. Selecione Ações > Ativar.

Exporte o Syslog do VMware ESXi através do vSphere Client

  1. Inicie sessão no seu anfitrião ESXi através do vSphere Client.
  2. Aceda a Gerir > Sistema > Definições avançadas.
  3. Encontre a chave Syslog.global.logHost na lista.
  4. Selecione a chave e clique em Opção de edição.
  5. Introduza <protocol>://<destination_IP>:<port>
    • Substitua <protocol> por tcp (se configurou o agente Bindplane para usar UDP, escreva udp).
    • Substitua <destination_IP> pelo endereço IP do seu agente Bindplane.
    • Substitua <port> pela porta configurada anteriormente no agente do Bindplane.
  6. Clique em Guardar.

Opcional: exporte o Syslog do VMware ESXi através do SSH

  1. Ligue-se ao anfitrião ESXi através de SSH.
  2. Use o comando esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>.
    • Substitua <protocol> por tcp (se configurou o agente Bindplane para usar UDP, escreva udp).
    • Substitua <destination_IP> pelo endereço IP do seu agente Bindplane.
    • Substitua <port> pela porta configurada anteriormente no Bindplane.
  3. Reinicie o serviço syslog introduzindo o comando /etc/init.d/syslog restart.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
@fields.alias event.idm.read_only_udm.principal.cloud.project.alias Mapeado diretamente a partir do campo @fields.alias do registo JSON.
@fields.company_name event.idm.read_only_udm.principal.user.company_name Mapeado diretamente a partir do campo @fields.company_name do registo JSON.
@fields.facility event.idm.read_only_udm.principal.resource.type Mapeado diretamente a partir do campo @fields.facility do registo JSON.
@fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo @fields.host do registo JSON.
@fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Mapeado diretamente a partir do campo @fields.privatecloud_id do registo JSON.
@fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Mapeado diretamente a partir do campo @fields.privatecloud_name do registo JSON.
@fields.procid event.idm.read_only_udm.principal.process.pid Mapeado diretamente a partir do campo @fields.procid do registo JSON.
@fields.region_id event.idm.read_only_udm.principal.location.country_or_region Mapeado diretamente a partir do campo @fields.region_id do registo JSON.
@fields.severity event.idm.read_only_udm.security_result.severity Mapeado a partir do campo @fields.severity do registo JSON. Se o valor for "info" ou semelhante, é mapeado para "INFORMATIONAL".
@timestamp event.idm.read_only_udm.metadata.event_timestamp Analisado e convertido num objeto de data/hora a partir do campo @timestamp do registo através do filtro date.
adapter event.idm.read_only_udm.target.resource.name Mapeado diretamente a partir do campo adapter do registo não processado.
action event.idm.read_only_udm.security_result.action Mapeado diretamente a partir do campo action do registo não processado. São usados valores como "ALLOW" e "BLOCK".
action event.idm.read_only_udm.security_result.action_details Mapeado diretamente a partir do campo action do registo não processado. São usados valores como "Redirecionar".
administrative_domain event.idm.read_only_udm.principal.administrative_domain Mapeado diretamente a partir do campo administrative_domain do registo não processado.
agent.hostname event.idm.read_only_udm.intermediary.hostname Mapeado diretamente a partir do campo agent.hostname do registo JSON.
agent.id event.idm.read_only_udm.intermediary.asset.id Mapeado diretamente a partir do campo agent.id do registo JSON.
agent.name event.idm.read_only_udm.intermediary.asset.name Mapeado diretamente a partir do campo agent.name do registo JSON.
agent.type event.idm.read_only_udm.intermediary.asset.type Mapeado diretamente a partir do campo agent.type do registo JSON.
agent.version event.idm.read_only_udm.intermediary.asset.version Mapeado diretamente a partir do campo agent.version do registo JSON.
app_name event.idm.read_only_udm.principal.application Mapeado diretamente a partir do campo app_name do registo não processado.
app_protocol event.idm.read_only_udm.network.application_protocol Mapeado diretamente a partir do campo app_protocol do registo não processado. Se o valor corresponder a "http" (sem distinção entre maiúsculas e minúsculas), é mapeado para "HTTP".
application event.idm.read_only_udm.principal.application Mapeado diretamente a partir do campo program do registo JSON.
cmd event.idm.read_only_udm.target.process.command_line Mapeado diretamente a partir do campo cmd do registo não processado.
collection_time event.idm.read_only_udm.metadata.event_timestamp Os nanosegundos do campo collection_time são adicionados aos segundos do campo collection_time para criar o event_timestamp.
data event.idm.read_only_udm.metadata.description A mensagem de registo não processada é analisada e as partes relevantes são extraídas para preencher o campo de descrição.
descrip event.idm.read_only_udm.metadata.description Mapeado diretamente a partir do campo descrip do registo não processado.
dns.answers.data event.idm.read_only_udm.network.dns.answers.data Mapeado diretamente a partir do campo dns.answers.data do registo JSON.
dns.answers.ttl event.idm.read_only_udm.network.dns.answers.ttl Mapeado diretamente a partir do campo dns.answers.ttl do registo JSON.
dns.answers.type event.idm.read_only_udm.network.dns.answers.type Mapeado diretamente a partir do campo dns.answers.type do registo JSON.
dns.questions.name event.idm.read_only_udm.network.dns.questions.name Mapeado diretamente a partir do campo dns.questions.name do registo JSON.
dns.questions.type event.idm.read_only_udm.network.dns.questions.type Mapeado diretamente a partir do campo dns.questions.type do registo JSON.
dns.response event.idm.read_only_udm.network.dns.response Mapeado diretamente a partir do campo dns.response do registo JSON.
ecs.version event.idm.read_only_udm.metadata.product_version Mapeado diretamente a partir do campo ecs.version do registo JSON.
event_message event.idm.read_only_udm.metadata.description Mapeado diretamente a partir do campo event_message do registo JSON.
event_metadata event.idm.read_only_udm.principal.process.product_specific_process_id O campo event_metadata é analisado para extrair o valor opID, que é, em seguida, adicionado com "opID:" e mapeado para o UDM.
event_type event.idm.read_only_udm.metadata.event_type Mapeado diretamente a partir do campo event_type do registo JSON.
filepath event.idm.read_only_udm.target.file.full_path Mapeado diretamente a partir do campo filepath do registo não processado.
fields.company_name event.idm.read_only_udm.principal.user.company_name Mapeado diretamente a partir do campo fields.company_name do registo JSON.
fields.facility event.idm.read_only_udm.principal.resource.type Mapeado diretamente a partir do campo fields.facility do registo JSON.
fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo fields.host do registo JSON.
fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Mapeado diretamente a partir do campo fields.privatecloud_id do registo JSON.
fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Mapeado diretamente a partir do campo fields.privatecloud_name do registo JSON.
fields.procid event.idm.read_only_udm.principal.process.pid Mapeado diretamente a partir do campo fields.procid do registo JSON.
fields.region_id event.idm.read_only_udm.principal.location.country_or_region Mapeado diretamente a partir do campo fields.region_id do registo JSON.
fields.severity event.idm.read_only_udm.security_result.severity Mapeado a partir do campo fields.severity do registo JSON. Se o valor for "info" ou semelhante, é mapeado para "INFORMATIONAL".
host.architecture event.idm.read_only_udm.principal.asset.architecture Mapeado diretamente a partir do campo host.architecture do registo JSON.
host.containerized event.idm.read_only_udm.principal.asset.containerized Mapeado diretamente a partir do campo host.containerized do registo JSON.
host.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo host.hostname do registo JSON.
host.id event.idm.read_only_udm.principal.asset.id Mapeado diretamente a partir do campo host.id do registo JSON.
host.ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente a partir do campo host.ip do registo JSON.
host.mac event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.principal.asset.mac Mapeado diretamente a partir do campo host.mac do registo JSON.
host.name event.idm.read_only_udm.principal.asset.name Mapeado diretamente a partir do campo host.name do registo JSON.
host.os.codename event.idm.read_only_udm.principal.asset.os.codename Mapeado diretamente a partir do campo host.os.codename do registo JSON.
host.os.family event.idm.read_only_udm.principal.asset.os.family Mapeado diretamente a partir do campo host.os.family do registo JSON.
host.os.kernel event.idm.read_only_udm.principal.asset.os.kernel Mapeado diretamente a partir do campo host.os.kernel do registo JSON.
host.os.name event.idm.read_only_udm.principal.asset.os.name Mapeado diretamente a partir do campo host.os.name do registo JSON.
host.os.platform event.idm.read_only_udm.principal.asset.os.platform Mapeado diretamente a partir do campo host.os.platform do registo JSON.
host.os.version event.idm.read_only_udm.principal.asset.os.version Mapeado diretamente a partir do campo host.os.version do registo JSON.
iporhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo iporhost do registo não processado.
iporhost event.idm.read_only_udm.principal.ip Mapeado diretamente a partir do campo iporhost do registo não processado, se for um endereço IP.
iporhost1 event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo iporhost1 do registo não processado.
kv_data1 event.idm.read_only_udm.principal.process.product_specific_process_id O campo kv_data1 é analisado para extrair o valor opID ou sub, que é, em seguida, adicionado com "opID:" ou "sub:", respetivamente, e mapeado para o UDM.
kv_msg event.idm.read_only_udm.additional.fields O campo kv_msg é analisado como pares de chave-valor e adicionado à matriz additional_fields no UDM.
kv_msg1 event.idm.read_only_udm.additional.fields O campo kv_msg1 é analisado como pares de chave-valor e adicionado à matriz additional_fields no UDM.
lbdn event.idm.read_only_udm.target.hostname Mapeado diretamente a partir do campo lbdn do registo não processado.
log.source.address event.idm.read_only_udm.observer.hostname Mapeado diretamente a partir do campo log.source.address do registo JSON, tendo em conta apenas a parte do nome do anfitrião.
log_event.original event.idm.read_only_udm.metadata.description Mapeado diretamente a partir do campo event.original do registo JSON.
log_level event.idm.read_only_udm.security_result.severity_details Mapeado diretamente a partir do campo log_level do registo JSON.
logstash.collect.host event.idm.read_only_udm.observer.hostname Mapeado diretamente a partir do campo logstash.collect.host do registo JSON.
logstash.collect.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analisado e convertido num objeto de data/hora a partir do campo logstash.collect.timestamp do registo através do filtro date.
logstash.ingest.host event.idm.read_only_udm.intermediary.hostname Mapeado diretamente a partir do campo logstash.ingest.host do registo JSON.
logstash.ingest.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analisado e convertido num objeto de data/hora a partir do campo logstash.ingest.timestamp do registo através do filtro date.
logstash.process.host event.idm.read_only_udm.intermediary.hostname Mapeado diretamente a partir do campo logstash.process.host do registo JSON.
logstash.process.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analisado e convertido num objeto de data/hora a partir do campo logstash.process.timestamp do registo através do filtro date.
log_type event.idm.read_only_udm.metadata.log_type Mapeado diretamente a partir do campo log_type do registo não processado.
message event.idm.read_only_udm.metadata.description Mapeado diretamente a partir do campo message do registo JSON.
message_to_process event.idm.read_only_udm.metadata.description Mapeado diretamente a partir do campo message_to_process do registo não processado.
metadata.event_type event.idm.read_only_udm.metadata.event_type Inicialmente, é definido como "GENERIC_EVENT" e, em seguida, pode ser substituído com base no service analisado ou noutro conteúdo do registo. Podem ser valores como PROCESS_LAUNCH, NETWORK_CONNECTION, USER_LOGIN, etc.
metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Mapeado diretamente a partir do campo process_id ou prod_event_type do registo não processado.
metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Mapeado diretamente a partir do campo event_id do registo não processado.
metadata.product_name event.idm.read_only_udm.metadata.product_name Definido como "ESX".
metadata.product_version event.idm.read_only_udm.metadata.product_version Mapeado diretamente a partir do campo version do registo JSON.
metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Definido como "VMWARE".
msg event.idm.read_only_udm.metadata.description Mapeado diretamente a partir do campo msg do registo não processado.
network.application_protocol event.idm.read_only_udm.network.application_protocol Definido como "DNS" se o service for "named", "HTTPS" se a porta for 443 ou "HTTP" se o app_protocol corresponder a "http".
network.direction event.idm.read_only_udm.network.direction Determinado a partir de palavras-chave no registo não processado, como "IN", "OUT", "->". Pode ser INBOUND ou OUTBOUND.
network.http.method event.idm.read_only_udm.network.http.method Mapeado diretamente a partir do campo method do registo não processado.
network.http.parsed_user_agent event.idm.read_only_udm.network.http.parsed_user_agent Analisado a partir do campo useragent através do filtro convert.
network.http.referral_url event.idm.read_only_udm.network.http.referral_url Mapeado diretamente a partir do campo prin_url do registo não processado.
network.http.response_code event.idm.read_only_udm.network.http.response_code Mapeado diretamente a partir do campo status_code do registo não processado e convertido num número inteiro.
network.http.user_agent event.idm.read_only_udm.network.http.user_agent Mapeado diretamente a partir do campo useragent do registo não processado.
network.ip_protocol event.idm.read_only_udm.network.ip_protocol Determinado a partir de palavras-chave no registo não processado, como "TCP" e "UDP".
network.received_bytes event.idm.read_only_udm.network.received_bytes Mapeado diretamente a partir do campo rec_bytes do registo não processado e convertido num número inteiro não assinado.
network.sent_bytes event.idm.read_only_udm.network.sent_bytes Extraído do campo message_to_process do registo não processado.
network.session_id event.idm.read_only_udm.network.session_id Mapeado diretamente a partir do campo session do registo não processado.
pid event.idm.read_only_udm.target.process.parent_process.pid Mapeado diretamente a partir do campo pid do registo não processado.
pid event.idm.read_only_udm.principal.process.pid Mapeado diretamente a partir do campo pid do registo JSON.
pid event.idm.read_only_udm.target.process.pid Mapeado diretamente a partir do campo pid do registo não processado.
port event.idm.read_only_udm.target.port Mapeado diretamente a partir do campo port do registo JSON.
principal.application event.idm.read_only_udm.principal.application Mapeado diretamente a partir do campo app_name ou service do registo não processado.
principal.asset.hostname event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo principal_hostname ou iporhost do registo não processado.
principal.asset.ip event.idm.read_only_udm.principal.asset.ip Mapeado diretamente a partir do campo syslog_ip do registo não processado.
principal.hostname event.idm.read_only_udm.principal.hostname Mapeado diretamente a partir do campo principal_hostname ou iporhost do registo não processado.
principal.ip event.idm.read_only_udm.principal.ip Mapeado diretamente a partir do campo iporhost ou syslog_ip do registo não processado.
principal.port event.idm.read_only_udm.principal.port Mapeado diretamente a partir do campo srcport do registo não processado.
principal.process.command_line event.idm.read_only_udm.principal.process.command_line Mapeado diretamente a partir do campo cmd do registo não processado.
principal.process.parent_process.pid event.idm.read_only_udm.principal.process.parent_process.pid Mapeado diretamente a partir do campo parent_pid do registo não processado.
principal.process.pid event.idm.read_only_udm.principal.process.pid Mapeado diretamente a partir do campo process_id do registo não processado.
principal.process.product_specific_process_id event.idm.read_only_udm.principal.process.product_specific_process_id Extraído do campo message_to_process do registo não processado, normalmente com o prefixo "opID:".
principal.url event.idm.read_only_udm.principal.url Mapeado diretamente a partir do campo prin_url do registo não processado.
principal.user.company_name event.idm.read_only_udm.principal.user.company_name Mapeado diretamente a partir do campo fields.company_name do registo JSON.
principal.user.userid event.idm.read_only_udm.principal.user.userid Mapeado diretamente a partir do campo USER do registo não processado.
priority event.idm.read_only_udm.metadata.product_event_type Mapeado diretamente a partir do campo priority do registo não processado.
program event.idm.read_only_udm.principal.application Mapeado diretamente a partir do campo program do registo JSON.
qname event.idm.read_only_udm.network.dns.questions.name Mapeado diretamente a partir do campo qname do registo não processado.
response_data event.idm.read_only_udm.network.dns.answers.data Mapeado diretamente a partir do campo response_data do registo não processado.
response_rtype event.idm.read_only_udm.network.dns.answers.type Mapeado diretamente a partir do campo response_rtype do registo não processado. O tipo de registo DNS numérico é extraído.
response_ttl event.idm.read_only_udm.network.dns.answers.ttl Mapeado diretamente a partir do campo response_ttl do registo não processado.
rtype event.idm.read_only_udm.network.dns.questions.type Mapeado diretamente a partir do campo rtype do registo não processado. O tipo de registo DNS numérico é extraído.
security_result.action event.idm.read_only_udm.security_result.action Determinado a partir de palavras-chave ou do estado no registo não processado. Pode ser ALLOW ou BLOCK.
security_result.action_details event.idm.read_only_udm.security_result.action_details Extraído da mensagem de registo não processada, fornecendo mais contexto sobre a ação realizada.
security_result.category event.idm.read_only_udm.security_result.category Definido como POLICY_VIOLATION se o registo indicar uma correspondência da regra de firewall.
security_result.description event.idm.read_only_udm.security_result.description Extraído da mensagem de registo não processada, fornecendo mais contexto acerca do resultado de segurança.
security_result.rule_id event.idm.read_only_udm.security_result.rule_id Mapeado diretamente a partir do campo rule_id do registo não processado.
security_result.severity event.idm.read_only_udm.security_result.severity Determinado a partir de palavras-chave no registo não processado, como "info", "warning", "error". Pode ser INFORMATIONAL, LOW, MEDIUM ou HIGH.
security_result.severity_details event.idm.read_only_udm.security_result.severity_details Mapeado diretamente a partir do campo severity ou log.syslog.severity.name do registo não processado.
security_result.summary event.idm.read_only_udm.security_result.summary Extraído da mensagem de registo não processada, fornecendo um resumo conciso do resultado de segurança.
service event.idm.read_only_udm.principal.application Mapeado diretamente a partir do campo service do registo não processado.
source event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente a partir do campo source do registo não processado.
src.file.full_path event.idm.read_only_udm.src.file.full_path Extraído da mensagem de registo não processada.
src.hostname event.idm.read_only_udm.src.hostname Mapeado diretamente a partir do campo src.hostname do registo não processado.
src_ip event.idm.read_only_udm.principal.ip Mapeado diretamente a partir do campo src_ip do registo não processado.
src_mac_address event.idm.read_only_udm.principal.mac Mapeado diretamente a partir do campo src_mac_address do registo não processado.
srcport event.idm.read_only_udm.principal.port Mapeado diretamente a partir do campo srcport do registo não processado.
srcip event.idm.read_only_udm.principal.ip Mapeado diretamente a partir do campo srcip do registo não processado.
subtype event.idm.read_only_udm.metadata.event_type Mapeado diretamente a partir do campo subtype do registo não processado.
tags event.idm.read_only_udm.metadata.tags Mapeado diretamente a partir do campo tags do registo JSON.
target.application event.idm.read_only_udm.target.application Mapeado diretamente a partir do campo target_application do registo não processado.
target.file.full_path event.idm.read_only_udm.target.file.full_path Extraído da mensagem de registo não processada.
target.hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Mapeado diretamente a partir do campo target_hostname ou iporhost do registo não processado.
target.ip event.idm.read_only_udm.target.ip Mapeado diretamente a partir do campo target_ip do registo não processado.
target.mac event.idm.read_only_udm.target.mac Mapeado diretamente a partir do campo target_mac_address do registo não processado.
target.port event.idm.read_only_udm.target.port Mapeado diretamente a partir do campo target_port do registo não processado.
target.process.command_line event.idm.read_only_udm.target.process.command_line Mapeado diretamente a partir do campo cmd do registo não processado.
target.process.parent_process.pid event.idm.read_only_udm.target.process.parent_process.pid Mapeado diretamente a partir do campo parent_pid do registo não processado.
target.process.pid event.idm.read_only_udm.target.process.pid Mapeado diretamente a partir do campo pid do registo não processado.
target.process.product_specific_process_id event.idm.read_only_udm.target.process.product_specific_process_id Extraído do campo message_to_process do registo não processado, normalmente com o prefixo "opID:".
target.resource.name event.idm.read_only_udm.target.resource.name Mapeado diretamente a partir do campo adapter do registo não processado.
target.resource.resource_type event.idm.read_only_udm.target.resource.resource_type Definido como VIRTUAL_MACHINE se o registo indicar uma operação de VM.
target.resource.type event.idm.read_only_udm.target.resource.type Definido como SETTING se o registo indicar uma modificação da definição.
target.user.userid event.idm.read_only_udm.target.user.userid Mapeado diretamente a partir do campo target_username ou user1 do registo não processado.
timestamp event.timestamp Analisado e convertido num objeto de data/hora a partir do campo timestamp ou data do registo através do filtro date.
type event.idm.read_only_udm.additional.fields O campo type do registo é adicionado à matriz additional_fields no UDM com a chave "LogType".
user1 event.idm.read_only_udm.target.user.userid Mapeado diretamente a partir do campo user1 do registo não processado.
useragent event.idm.read_only_udm.network.http.user_agent Mapeado diretamente a partir do campo useragent do registo não processado.
vmw_cluster event.idm.read_only_udm.target.resource.name Mapeado diretamente a partir do campo vmw_cluster do registo não processado.
vmw_datacenter event.idm.read_only_udm.target.resource.name Mapeado diretamente a partir do campo vmw_datacenter do registo não processado.
vmw_host event.idm.read_only_udm.target.ip Mapeado diretamente a partir do campo vmw_host do registo não processado.
vmw_object_id event.idm.read_only_udm.target.resource.id Mapeado diretamente a partir do campo vmw_object_id do registo não processado.
vmw_product event.idm.read_only_udm.target.application Mapeado diretamente a partir do campo vmw_product do registo não processado.
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone Mapeado diretamente a partir do campo vmw_vcenter do registo não processado.
vmw_vcenter_id event.idm.read_only_udm.target.cloud.availability_zone.id Mapeado diretamente a partir do campo vmw_vcenter_id do registo não processado.
vmw_vr_ops_appname event.idm.read_only_udm.target.application Mapeado diretamente a partir do campo vmw_vr_ops_appname do registo não processado.
vmw_vr_ops_clustername event.idm.read_only_udm.target.resource.name Mapeado diretamente a partir do campo vmw_vr_ops_clustername do registo não processado.
vmw_vr_ops_clusterrole event.idm.read_only_udm.target.resource.type Mapeado diretamente a partir do campo vmw_vr_ops_clusterrole do registo não processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.