此页面由 Cloud Translation API 翻译。

收集 VMware ESXi 日志

支持的语言：

Google SecOps SIEM

概览

此解析器从 VMware ESXi syslog 和 JSON 格式的日志中提取字段。它将各种 ESXi 日志格式规范化为通用结构，然后根据提取的值填充 UDM 字段，包括使用包含文件处理不同 ESXi 服务（如 crond、named 和 sshd）的特定情况。

准备工作

确保您拥有 Google SecOps 实例。
确保您拥有对 VMWare ESX 的特权访问权限。
确保您拥有 Windows 2012 SP2 或更高版本或带有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

对于 Windows 安装，请运行以下脚本：msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
对于 Linux 安装，请运行以下脚本：sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问安装了 Bindplane 代理的机器。

按如下方式修改 config.yaml 文件：

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

使用以下命令重启 Bindplane 代理以应用更改： sudo systemctl bindplane restart

允许 syslog ESXi 防火墙规则

前往网络 > 防火墙规则。
在“名称”列中找到 syslog。
点击修改设置。
更新您在 Bindplane 中配置的 tcp 或 udp 端口。
点击保存。
保持选中 syslog 行。
依次选择操作 > 启用。

使用 vSphere Client 从 VMware ESXi 导出 Syslog

使用 vSphere Client 登录 ESXi 主机。
依次前往管理 > 系统 > 高级设置。
在列表中找到 Syslog.global.logHost 键。
选择相应密钥，然后点击修改选项。
输入 <protocol>://<destination_IP>:<port>
- 将 <protocol> 替换为 tcp（如果您已将 Bindplane 代理配置为使用 UDP，则输入 udp）。
- 将 <destination_IP> 替换为 Bindplane Agent 的 IP 地址。
- 将 <port> 替换为之前在 Bindplane Agent 中设置的端口。
点击保存。

可选：使用 SSH 从 VMware ESXi 导出 Syslog

使用 SSH 连接到 ESXi 主机。
使用 esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port> 命令。
- 将 <protocol> 替换为 tcp（如果您已将 Bindplane 代理配置为使用 UDP，则输入 udp）。
- 将 <destination_IP> 替换为 Bindplane Agent 的 IP 地址。
- 将 <port> 替换为之前在 Bindplane 中设置的端口。
输入命令 /etc/init.d/syslog restart，重启 syslog 服务。

UDM 映射表

日志字段	UDM 映射	逻辑
`@fields.alias`	`event.idm.read_only_udm.principal.cloud.project.alias`	直接从 JSON 日志的 `@fields.alias` 字段映射。
`@fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	直接从 JSON 日志的 `@fields.company_name` 字段映射。
`@fields.facility`	`event.idm.read_only_udm.principal.resource.type`	直接从 JSON 日志的 `@fields.facility` 字段映射。
`@fields.host`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 JSON 日志的 `@fields.host` 字段映射。
`@fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	直接从 JSON 日志的 `@fields.privatecloud_id` 字段映射。
`@fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	直接从 JSON 日志的 `@fields.privatecloud_name` 字段映射。
`@fields.procid`	`event.idm.read_only_udm.principal.process.pid`	直接从 JSON 日志的 `@fields.procid` 字段映射。
`@fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	直接从 JSON 日志的 `@fields.region_id` 字段映射。
`@fields.severity`	`event.idm.read_only_udm.security_result.severity`	从 JSON 日志的 `@fields.severity` 字段映射而来。如果值为“info”或类似值，则会映射到“INFORMATIONAL”。
`@timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	使用 `date` 过滤器从日志的 `@timestamp` 字段解析并转换为时间戳对象。
`adapter`	`event.idm.read_only_udm.target.resource.name`	直接从原始日志的 `adapter` 字段映射。
`action`	`event.idm.read_only_udm.security_result.action`	直接从原始日志的 `action` 字段映射。使用“ALLOW”和“BLOCK”等值。
`action`	`event.idm.read_only_udm.security_result.action_details`	直接从原始日志的 `action` 字段映射。使用“重定向”等值。
`administrative_domain`	`event.idm.read_only_udm.principal.administrative_domain`	直接从原始日志的 `administrative_domain` 字段映射。
`agent.hostname`	`event.idm.read_only_udm.intermediary.hostname`	直接从 JSON 日志的 `agent.hostname` 字段映射。
`agent.id`	`event.idm.read_only_udm.intermediary.asset.id`	直接从 JSON 日志的 `agent.id` 字段映射。
`agent.name`	`event.idm.read_only_udm.intermediary.asset.name`	直接从 JSON 日志的 `agent.name` 字段映射。
`agent.type`	`event.idm.read_only_udm.intermediary.asset.type`	直接从 JSON 日志的 `agent.type` 字段映射。
`agent.version`	`event.idm.read_only_udm.intermediary.asset.version`	直接从 JSON 日志的 `agent.version` 字段映射。
`app_name`	`event.idm.read_only_udm.principal.application`	直接从原始日志的 `app_name` 字段映射。
`app_protocol`	`event.idm.read_only_udm.network.application_protocol`	直接从原始日志的 `app_protocol` 字段映射。如果值与“http”（不区分大小写）匹配，则映射到“HTTP”。
`application`	`event.idm.read_only_udm.principal.application`	直接从 JSON 日志的 `program` 字段映射。
`cmd`	`event.idm.read_only_udm.target.process.command_line`	直接从原始日志的 `cmd` 字段映射。
`collection_time`	`event.idm.read_only_udm.metadata.event_timestamp`	系统会将 `collection_time` 字段中的纳秒数添加到 `collection_time` 字段中的秒数，以创建 `event_timestamp`。
`data`	`event.idm.read_only_udm.metadata.description`	系统会解析原始日志消息，并提取相关部分来填充说明字段。
`descrip`	`event.idm.read_only_udm.metadata.description`	直接从原始日志的 `descrip` 字段映射。
`dns.answers.data`	`event.idm.read_only_udm.network.dns.answers.data`	直接从 JSON 日志的 `dns.answers.data` 字段映射。
`dns.answers.ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	直接从 JSON 日志的 `dns.answers.ttl` 字段映射。
`dns.answers.type`	`event.idm.read_only_udm.network.dns.answers.type`	直接从 JSON 日志的 `dns.answers.type` 字段映射。
`dns.questions.name`	`event.idm.read_only_udm.network.dns.questions.name`	直接从 JSON 日志的 `dns.questions.name` 字段映射。
`dns.questions.type`	`event.idm.read_only_udm.network.dns.questions.type`	直接从 JSON 日志的 `dns.questions.type` 字段映射。
`dns.response`	`event.idm.read_only_udm.network.dns.response`	直接从 JSON 日志的 `dns.response` 字段映射。
`ecs.version`	`event.idm.read_only_udm.metadata.product_version`	直接从 JSON 日志的 `ecs.version` 字段映射。
`event_message`	`event.idm.read_only_udm.metadata.description`	直接从 JSON 日志的 `event_message` 字段映射。
`event_metadata`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	系统会解析 `event_metadata` 字段以提取 `opID` 值，然后将该值添加“opID:”前缀并映射到 UDM。
`event_type`	`event.idm.read_only_udm.metadata.event_type`	直接从 JSON 日志的 `event_type` 字段映射。
`filepath`	`event.idm.read_only_udm.target.file.full_path`	直接从原始日志的 `filepath` 字段映射。
`fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	直接从 JSON 日志的 `fields.company_name` 字段映射。
`fields.facility`	`event.idm.read_only_udm.principal.resource.type`	直接从 JSON 日志的 `fields.facility` 字段映射。
`fields.host`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 JSON 日志的 `fields.host` 字段映射。
`fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	直接从 JSON 日志的 `fields.privatecloud_id` 字段映射。
`fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	直接从 JSON 日志的 `fields.privatecloud_name` 字段映射。
`fields.procid`	`event.idm.read_only_udm.principal.process.pid`	直接从 JSON 日志的 `fields.procid` 字段映射。
`fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	直接从 JSON 日志的 `fields.region_id` 字段映射。
`fields.severity`	`event.idm.read_only_udm.security_result.severity`	从 JSON 日志的 `fields.severity` 字段映射而来。如果值为“info”或类似值，则会映射到“INFORMATIONAL”。
`host.architecture`	`event.idm.read_only_udm.principal.asset.architecture`	直接从 JSON 日志的 `host.architecture` 字段映射。
`host.containerized`	`event.idm.read_only_udm.principal.asset.containerized`	直接从 JSON 日志的 `host.containerized` 字段映射。
`host.hostname`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 JSON 日志的 `host.hostname` 字段映射。
`host.id`	`event.idm.read_only_udm.principal.asset.id`	直接从 JSON 日志的 `host.id` 字段映射。
`host.ip`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 JSON 日志的 `host.ip` 字段映射。
`host.mac`	`event.idm.read_only_udm.principal.mac`，`event.idm.read_only_udm.principal.asset.mac`	直接从 JSON 日志的 `host.mac` 字段映射。
`host.name`	`event.idm.read_only_udm.principal.asset.name`	直接从 JSON 日志的 `host.name` 字段映射。
`host.os.codename`	`event.idm.read_only_udm.principal.asset.os.codename`	直接从 JSON 日志的 `host.os.codename` 字段映射。
`host.os.family`	`event.idm.read_only_udm.principal.asset.os.family`	直接从 JSON 日志的 `host.os.family` 字段映射。
`host.os.kernel`	`event.idm.read_only_udm.principal.asset.os.kernel`	直接从 JSON 日志的 `host.os.kernel` 字段映射。
`host.os.name`	`event.idm.read_only_udm.principal.asset.os.name`	直接从 JSON 日志的 `host.os.name` 字段映射。
`host.os.platform`	`event.idm.read_only_udm.principal.asset.os.platform`	直接从 JSON 日志的 `host.os.platform` 字段映射。
`host.os.version`	`event.idm.read_only_udm.principal.asset.os.version`	直接从 JSON 日志的 `host.os.version` 字段映射。
`iporhost`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从原始日志的 `iporhost` 字段映射。
`iporhost`	`event.idm.read_only_udm.principal.ip`	如果原始日志的 `iporhost` 字段是 IP 地址，则直接从该字段映射。
`iporhost1`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从原始日志的 `iporhost1` 字段映射。
`kv_data1`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	系统会解析 `kv_data1` 字段以提取 `opID` 或 `sub` 值，然后分别在这些值前面添加“opID:”或“sub:”，并将其映射到 UDM。
`kv_msg`	`event.idm.read_only_udm.additional.fields`	系统会将 `kv_msg` 字段解析为键值对，并将其添加到 UDM 中的 `additional_fields` 数组中。
`kv_msg1`	`event.idm.read_only_udm.additional.fields`	系统会将 `kv_msg1` 字段解析为键值对，并将其添加到 UDM 中的 `additional_fields` 数组中。
`lbdn`	`event.idm.read_only_udm.target.hostname`	直接从原始日志的 `lbdn` 字段映射。
`log.source.address`	`event.idm.read_only_udm.observer.hostname`	直接从 JSON 日志的 `log.source.address` 字段映射，仅提取主机名部分。
`log_event.original`	`event.idm.read_only_udm.metadata.description`	直接从 JSON 日志的 `event.original` 字段映射。
`log_level`	`event.idm.read_only_udm.security_result.severity_details`	直接从 JSON 日志的 `log_level` 字段映射。
`logstash.collect.host`	`event.idm.read_only_udm.observer.hostname`	直接从 JSON 日志的 `logstash.collect.host` 字段映射。
`logstash.collect.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	使用 `date` 过滤器从日志的 `logstash.collect.timestamp` 字段解析并转换为时间戳对象。
`logstash.ingest.host`	`event.idm.read_only_udm.intermediary.hostname`	直接从 JSON 日志的 `logstash.ingest.host` 字段映射。
`logstash.ingest.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	使用 `date` 过滤器从日志的 `logstash.ingest.timestamp` 字段解析并转换为时间戳对象。
`logstash.process.host`	`event.idm.read_only_udm.intermediary.hostname`	直接从 JSON 日志的 `logstash.process.host` 字段映射。
`logstash.process.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	使用 `date` 过滤器从日志的 `logstash.process.timestamp` 字段解析并转换为时间戳对象。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	直接从原始日志的 `log_type` 字段映射。
`message`	`event.idm.read_only_udm.metadata.description`	直接从 JSON 日志的 `message` 字段映射。
`message_to_process`	`event.idm.read_only_udm.metadata.description`	直接从原始日志的 `message_to_process` 字段映射。
`metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	最初设置为“GENERIC_EVENT”，然后可能会根据解析的 `service` 或其他日志内容进行覆盖。可以是 `PROCESS_LAUNCH`、`NETWORK_CONNECTION`、`USER_LOGIN` 等值。
`metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	直接从原始日志的 `process_id` 或 `prod_event_type` 字段映射。
`metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	直接从原始日志的 `event_id` 字段映射。
`metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	设置为“ESX”。
`metadata.product_version`	`event.idm.read_only_udm.metadata.product_version`	直接从 JSON 日志的 `version` 字段映射。
`metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	设置为“VMWARE”。
`msg`	`event.idm.read_only_udm.metadata.description`	直接从原始日志的 `msg` 字段映射。
`network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	如果 `service` 为“named”，则设置为“DNS”；如果端口为 443，则设置为“HTTPS”；如果 `app_protocol` 与“http”匹配，则设置为“HTTP”。
`network.direction`	`event.idm.read_only_udm.network.direction`	根据原始日志中的关键字（例如“IN”“OUT”“->”）确定。可以是 `INBOUND` 或 `OUTBOUND`。
`network.http.method`	`event.idm.read_only_udm.network.http.method`	直接从原始日志的 `method` 字段映射。
`network.http.parsed_user_agent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	使用 `convert` 过滤条件从 `useragent` 字段解析。
`network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	直接从原始日志的 `prin_url` 字段映射。
`network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	直接从原始日志的 `status_code` 字段映射并转换为整数。
`network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接从原始日志的 `useragent` 字段映射。
`network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	根据原始日志中的关键字（例如“TCP”“UDP”）确定。
`network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	直接从原始日志的 `rec_bytes` 字段映射，并转换为无符号整数。
`network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	从原始日志的 `message_to_process` 字段中提取。
`network.session_id`	`event.idm.read_only_udm.network.session_id`	直接从原始日志的 `session` 字段映射。
`pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	直接从原始日志的 `pid` 字段映射。
`pid`	`event.idm.read_only_udm.principal.process.pid`	直接从 JSON 日志的 `pid` 字段映射。
`pid`	`event.idm.read_only_udm.target.process.pid`	直接从原始日志的 `pid` 字段映射。
`port`	`event.idm.read_only_udm.target.port`	直接从 JSON 日志的 `port` 字段映射。
`principal.application`	`event.idm.read_only_udm.principal.application`	直接从原始日志的 `app_name` 或 `service` 字段映射。
`principal.asset.hostname`	`event.idm.read_only_udm.principal.asset.hostname`	直接从原始日志的 `principal_hostname` 或 `iporhost` 字段映射。
`principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	直接从原始日志的 `syslog_ip` 字段映射。
`principal.hostname`	`event.idm.read_only_udm.principal.hostname`	直接从原始日志的 `principal_hostname` 或 `iporhost` 字段映射。
`principal.ip`	`event.idm.read_only_udm.principal.ip`	直接从原始日志的 `iporhost` 或 `syslog_ip` 字段映射。
`principal.port`	`event.idm.read_only_udm.principal.port`	直接从原始日志的 `srcport` 字段映射。
`principal.process.command_line`	`event.idm.read_only_udm.principal.process.command_line`	直接从原始日志的 `cmd` 字段映射。
`principal.process.parent_process.pid`	`event.idm.read_only_udm.principal.process.parent_process.pid`	直接从原始日志的 `parent_pid` 字段映射。
`principal.process.pid`	`event.idm.read_only_udm.principal.process.pid`	直接从原始日志的 `process_id` 字段映射。
`principal.process.product_specific_process_id`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	从原始日志的 `message_to_process` 字段中提取，通常以“opID:”为前缀。
`principal.url`	`event.idm.read_only_udm.principal.url`	直接从原始日志的 `prin_url` 字段映射。
`principal.user.company_name`	`event.idm.read_only_udm.principal.user.company_name`	直接从 JSON 日志的 `fields.company_name` 字段映射。
`principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	直接从原始日志的 `USER` 字段映射。
`priority`	`event.idm.read_only_udm.metadata.product_event_type`	直接从原始日志的 `priority` 字段映射。
`program`	`event.idm.read_only_udm.principal.application`	直接从 JSON 日志的 `program` 字段映射。
`qname`	`event.idm.read_only_udm.network.dns.questions.name`	直接从原始日志的 `qname` 字段映射。
`response_data`	`event.idm.read_only_udm.network.dns.answers.data`	直接从原始日志的 `response_data` 字段映射。
`response_rtype`	`event.idm.read_only_udm.network.dns.answers.type`	直接从原始日志的 `response_rtype` 字段映射。系统会提取数字 DNS 记录类型。
`response_ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	直接从原始日志的 `response_ttl` 字段映射。
`rtype`	`event.idm.read_only_udm.network.dns.questions.type`	直接从原始日志的 `rtype` 字段映射。系统会提取数字 DNS 记录类型。
`security_result.action`	`event.idm.read_only_udm.security_result.action`	根据原始日志中的关键字或状态确定。可以是 `ALLOW` 或 `BLOCK`。
`security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	从原始日志消息中提取，提供有关所采取行动的更多背景信息。
`security_result.category`	`event.idm.read_only_udm.security_result.category`	如果日志表明防火墙规则匹配，则设置为 `POLICY_VIOLATION`。
`security_result.description`	`event.idm.read_only_udm.security_result.description`	从原始日志消息中提取，提供有关安全结果的更多上下文信息。
`security_result.rule_id`	`event.idm.read_only_udm.security_result.rule_id`	直接从原始日志的 `rule_id` 字段映射。
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	根据原始日志中的关键字（例如“信息”“警告”“错误”）确定。可以是 `INFORMATIONAL`、`LOW`、`MEDIUM` 或 `HIGH`。
`security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	直接从原始日志的 `severity` 或 `log.syslog.severity.name` 字段映射。
`security_result.summary`	`event.idm.read_only_udm.security_result.summary`	从原始日志消息中提取，提供简洁的安全结果摘要。
`service`	`event.idm.read_only_udm.principal.application`	直接从原始日志的 `service` 字段映射。
`source`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从原始日志的 `source` 字段映射。
`src.file.full_path`	`event.idm.read_only_udm.src.file.full_path`	从原始日志消息中提取。
`src.hostname`	`event.idm.read_only_udm.src.hostname`	直接从原始日志的 `src.hostname` 字段映射。
`src_ip`	`event.idm.read_only_udm.principal.ip`	直接从原始日志的 `src_ip` 字段映射。
`src_mac_address`	`event.idm.read_only_udm.principal.mac`	直接从原始日志的 `src_mac_address` 字段映射。
`srcport`	`event.idm.read_only_udm.principal.port`	直接从原始日志的 `srcport` 字段映射。
`srcip`	`event.idm.read_only_udm.principal.ip`	直接从原始日志的 `srcip` 字段映射。
`subtype`	`event.idm.read_only_udm.metadata.event_type`	直接从原始日志的 `subtype` 字段映射。
`tags`	`event.idm.read_only_udm.metadata.tags`	直接从 JSON 日志的 `tags` 字段映射。
`target.application`	`event.idm.read_only_udm.target.application`	直接从原始日志的 `target_application` 字段映射。
`target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	从原始日志消息中提取。
`target.hostname`	`event.idm.read_only_udm.target.hostname`，`event.idm.read_only_udm.target.asset.hostname`	直接从原始日志的 `target_hostname` 或 `iporhost` 字段映射。
`target.ip`	`event.idm.read_only_udm.target.ip`	直接从原始日志的 `target_ip` 字段映射。
`target.mac`	`event.idm.read_only_udm.target.mac`	直接从原始日志的 `target_mac_address` 字段映射。
`target.port`	`event.idm.read_only_udm.target.port`	直接从原始日志的 `target_port` 字段映射。
`target.process.command_line`	`event.idm.read_only_udm.target.process.command_line`	直接从原始日志的 `cmd` 字段映射。
`target.process.parent_process.pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	直接从原始日志的 `parent_pid` 字段映射。
`target.process.pid`	`event.idm.read_only_udm.target.process.pid`	直接从原始日志的 `pid` 字段映射。
`target.process.product_specific_process_id`	`event.idm.read_only_udm.target.process.product_specific_process_id`	从原始日志的 `message_to_process` 字段中提取，通常以“opID:”为前缀。
`target.resource.name`	`event.idm.read_only_udm.target.resource.name`	直接从原始日志的 `adapter` 字段映射。
`target.resource.resource_type`	`event.idm.read_only_udm.target.resource.resource_type`	如果日志指示的是虚拟机操作，则设置为 `VIRTUAL_MACHINE`。
`target.resource.type`	`event.idm.read_only_udm.target.resource.type`	如果日志表明设置已修改，则设置为 `SETTING`。
`target.user.userid`	`event.idm.read_only_udm.target.user.userid`	直接从原始日志的 `target_username` 或 `user1` 字段映射。
`timestamp`	`event.timestamp`	使用 `date` 过滤条件，从日志的 `timestamp` 或 `data` 字段解析并转换为时间戳对象。
`type`	`event.idm.read_only_udm.additional.fields`	日志的 `type` 字段会添加到 UDM 中键为“LogType”的 `additional_fields` 数组中。
`user1`	`event.idm.read_only_udm.target.user.userid`	直接从原始日志的 `user1` 字段映射。
`useragent`	`event.idm.read_only_udm.network.http.user_agent`	直接从原始日志的 `useragent` 字段映射。
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	直接从原始日志的 `vmw_cluster` 字段映射。
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.name`	直接从原始日志的 `vmw_datacenter` 字段映射。
`vmw_host`	`event.idm.read_only_udm.target.ip`	直接从原始日志的 `vmw_host` 字段映射。
`vmw_object_id`	`event.idm.read_only_udm.target.resource.id`	直接从原始日志的 `vmw_object_id` 字段映射。
`vmw_product`	`event.idm.read_only_udm.target.application`	直接从原始日志的 `vmw_product` 字段映射。
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	直接从原始日志的 `vmw_vcenter` 字段映射。
`vmw_vcenter_id`	`event.idm.read_only_udm.target.cloud.availability_zone.id`	直接从原始日志的 `vmw_vcenter_id` 字段映射。
`vmw_vr_ops_appname`	`event.idm.read_only_udm.target.application`	直接从原始日志的 `vmw_vr_ops_appname` 字段映射。
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.target.resource.name`	直接从原始日志的 `vmw_vr_ops_clustername` 字段映射。
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.target.resource.type`	直接从原始日志的 `vmw_vr_ops_clusterrole` 字段映射。